En este reporte de seguridad, discutiremos una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Royal Elementor Addons and Templates para WordPress. Esta vulnerabilidad afecta a todas las versiones hasta la 1.3.87 y puede permitir a atacantes no autenticados eliminar elementos de las listas de deseos de los usuarios mediante una solicitud falsificada.
El complemento Royal Elementor Addons and Templates para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 1.3.87. Esta vulnerabilidad se debe a la falta de validación de nonce en la función ‘remove_from_wishlist’. Esto permite a atacantes no autenticados eliminar elementos de las listas de deseos de los usuarios mediante una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del complemento Royal Elementor Addons and Templates, que corrige este problema de seguridad. Además, es importante educar a los administradores del sitio sobre la importancia de no hacer clic en enlaces sospechosos o no confiables.
Como medida adicional, se recomienda implementar medidas de seguridad adicionales, como la utilización de tokens anti-CSRF o la restricción de acceso a las funciones del complemento solo a usuarios autenticados.
La vulnerabilidad de Cross-Site Request Forgery en el complemento Royal Elementor Addons and Templates para WordPress puede permitir a atacantes no autenticados eliminar elementos de las listas de deseos de los usuarios mediante una solicitud falsificada. Para proteger los sitios web de WordPress contra esta vulnerabilidad, es importante actualizar el complemento a la última versión y educar a los administradores sobre las buenas prácticas de seguridad. Además, se recomienda implementar medidas de seguridad adicionales para garantizar una protección óptima contra ataques CSRF.