El plugin Reviews Feed – Add Testimonials and Customer Reviews From Google Reviews, Yelp, TripAdvisor, and More para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.1.2.
La vulnerabilidad CSRF se debe a una validación de nonce faltante o incorrecta en la función ‘update_api_key’. Esto permite a atacantes no autenticados actualizar una clave de API a través de una petición falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para mitigar esta vulnerabilidad, los usuarios del plugin Reviews Feed deben actualizar a la versión 1.1.3 o superior, la cual corrige el problema de CSRF implementando una validación adecuada de nonce en la función ‘update_api_key’. Además, se recomienda a los administradores de sitios web estar atentos a posibles ataques CSRF y educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos.