La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin de WordPress Newsletter, SMTP, Email marketing y Subscribe forms de Brevo (anteriormente Sendinblue) hasta la versión 3.1.87 permite a atacantes no autenticados manipular acciones en la conexión de Brevo si engañan a un administrador del sitio para realizar una acción como hacer clic en un enlace.
La falta de validación de nonce en la función Init() es la causa de esta vulnerabilidad en el plugin. Para mitigar este problema, se recomienda a los usuarios actualizar su plugin a la versión más reciente disponible y estar atentos a posibles acciones sospechosas en sus conexiones de Brevo.
Es fundamental que los administradores de WordPress tomen medidas proactivas para proteger sus sitios de posibles vulnerabilidades como esta. Mantener actualizados todos los plugins y temas, así como estar alerta ante posibles actividades sospechosas, es crucial para garantizar la seguridad en línea de sus sitios web.