El plugin OTA Sync Booking Engine Widget para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.2.7. Esta vulnerabilidad se debe a la falta de validación de nonce o incorrecta en la función otasync_widget_settings_fnc(), lo que permite a atacantes no autenticados actualizar la configuración del plugin e inyectar scripts maliciosos mediante una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin a la última versión disponible para corregir el problema de seguridad. Además, se recomienda a los administradores del sitio que estén atentos a posibles solicitudes falsificadas y que implementen medidas de seguridad adicionales, como la autenticación de dos factores, para protegerse contra ataques CSRF.
Es crucial que los propietarios de sitios WordPress mantengan sus plugins actualizados y estén al tanto de las vulnerabilidades conocidas para garantizar la seguridad de su sitio y la información de sus usuarios.