El plugin Royal Elementor Addons and Templates para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 1.3.87. Esto se debe a la falta de validación de nonce (número utilizado una única vez) en la función remove_from_compare. Esto permite que atacantes no autenticados eliminen elementos de las listas de comparación de usuarios mediante una solicitud falsificada, siempre y cuando logren engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.
Cross-Site Request Forgery (CSRF) es una vulnerabilidad que permite que un atacante engañe a un usuario autenticado para que realice acciones no deseadas sin su conocimiento. En el caso de la vulnerabilidad en el plugin Royal Elementor Addons and Templates, los atacantes pueden explotarla para eliminar elementos de las listas de comparación de los usuarios sin su consentimiento.
La explotación de esta vulnerabilidad requiere que los atacantes logren engañar a un administrador del sitio para que realice una acción involuntaria, como hacer clic en un enlace malicioso. Esto puede lograrse a través de técnicas de ingeniería social o aprovechando otras vulnerabilidades existentes.
La solución más efectiva para los usuarios es actualizar el plugin a la última versión disponible, que soluciona el problema de validación de nonce en la función remove_from_compare. Además, se recomienda a los administradores del sitio que estén atentos a posibles enlaces maliciosos y que capaciten a los usuarios para que puedan identificar y evitar ataques de ingeniería social.
La vulnerabilidad de Cross-Site Request Forgery en el plugin Royal Elementor Addons and Templates <= 1.3.87 puede permitir a atacantes no autenticados eliminar elementos de las listas de comparación de usuarios. Es importante que los usuarios y administradores del sitio actualicen el plugin a la última versión disponible y sean conscientes de los posibles ataques de ingeniería social. Mantenerse actualizado y educar a los usuarios en materia de seguridad es fundamental para proteger los sitios de WordPress contra este tipo de vulnerabilidades.