Esta entrada proporciona información sobre una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Royal Elementor Addons and Templates para WordPress, en todas las versiones hasta la 1.3.87.
La vulnerabilidad de CSRF ocurre debido a la falta o validación incorrecta de nonce en la función add_to_compare. Esto permite a atacantes no autenticados agregar elementos a las listas de comparación de usuarios mediante una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para realizar una acción, como hacer clic en un enlace.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Esto puede hacerse desde la sección de plugins en el panel de administración de WordPress.
Además, se sugiere configurar adecuadamente las políticas de seguridad en el servidor web, como asegurar que se valide correctamente la procedencia de las solicitudes y utilizar tokens CSRF para prevenir ataques de este tipo.
La vulnerabilidad de Cross-Site Request Forgery en el plugin Royal Elementor Addons and Templates <= 1.3.87 puede permitir a atacantes no autenticados realizar acciones no autorizadas en un sitio WordPress. Es importante tomar medidas para protegerse, como mantener el plugin actualizado y configurar adecuadamente las políticas de seguridad en el servidor web.