La vulnerabilidad de Cross-Site Request Forgery (CSRF) afecta a las versiones anteriores a la 1.8.3 de Easy PayPal & Stripe Buy Now Button y a las versiones anteriores a la 2.1 de Contact Form 7 – PayPal & Stripe Add-on para WordPress.
La vulnerabilidad se debe a la falta de validación de nonce en la función ‘wpecpp_stripe_connect_completion’. Esto permite a atacantes no autenticados modificar la configuración de los complementos y cambiar la conexión de stripe a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para remediar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión de los complementos afectados lo antes posible. Además, se debe estar alerta a posibles enlaces sospechosos y no realizar acciones no autorizadas en el panel de administración de WordPress.