El plugin LadiApp para WordPress es vulnerable a Cross-Site Request Forgery debido a la falta de verificación de nonce en la función publish_lp() enganchada a través de una acción AJAX en versiones hasta, e incluyendo, la 4.4. Esto permite que atacantes no autenticados cambien la clave de LadiPage (una clave completamente controlada por el atacante), lo que les permite crear libremente nuevas páginas, incluyendo páginas web que desencadenen XSS almacenado a través de una solicitud falsificada si pueden engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad en el plugin LadiApp para WordPress deben actualizar a la versión 4.5 o superior para corregir el problema. Además, se recomienda a los administradores del sitio que implementen medidas de seguridad adicionales, como la autenticación de dos factores y la supervisión regular de la actividad del sitio para detectar posibles intrusiones.
Es crucial que los propietarios de sitios web que utilizan el plugin LadiApp para WordPress tomen medidas inmediatas para proteger sus sitios de posibles ataques CSRF. Actualizar el plugin a la última versión disponible y seguir las mejores prácticas de seguridad en WordPress ayudará a mitigar el riesgo de explotación de esta vulnerabilidad.