El plugin Tutor LMS para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta, e incluyendo, 2.7.4. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce en la función ‘addon_enable_disable’. Esto permite que atacantes no autenticados habiliten o deshabiliten complementos a través de una solicitud falsificada siempre que puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar Tutor LMS a la última versión disponible, en este caso a la versión 2.7.5 o posterior. Además, se sugiere a los administradores del sitio ser cautelosos al hacer clic en enlaces sospechosos o de fuentes no confiables para prevenir posibles ataques CSRF.
La seguridad en los plugins de WordPress es crucial para proteger la integridad de un sitio web. Mantener todos los complementos actualizados y estar atento a posibles vulnerabilidades es fundamental para garantizar la seguridad de la plataforma.