La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Chative Live Chat and Chatbot para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.1. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en la función add_chative_widget_action(). Esto permite a atacantes no autenticados cambiar el ID del canal o el ID de la organización a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace. Esto podría llevar a redirigir el widget de chat en vivo a un canal controlado por el atacante.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Chative Live Chat and Chatbot a la última versión disponible que ya haya corregido este problema. También se recomienda a los administradores del sitio que sean cautelosos al hacer clic en enlaces de fuentes no verificadas y que implementen medidas adicionales de seguridad como la autenticación de dos factores y el monitoreo constante de la actividad del sitio.
Es fundamental mantener todos los plugins de WordPress actualizados para evitar posibles vulnerabilidades como esta de Cross-Site Request Forgery en Chative Live Chat and Chatbot. La seguridad de un sitio web es responsabilidad de todos los usuarios y administradores involucrados en su mantenimiento.