Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Binary MLM Woocommerce para WordPress en todas las versiones hasta, e incluyendo, la 2.0. Esta vulnerabilidad se debe a una validación incorrecta o ausente de nonce en la función ‘bmw_display_pv_set_page’ y a una insuficiente sanitización de entradas y escape de salidas del parámetro ‘product_points’. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios mediante una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Los usuarios afectados por esta vulnerabilidad en el plugin Binary MLM Woocommerce <= 2.0 deben actualizar de inmediato a la última versión disponible para mitigar el riesgo de ataques de Cross-Site Scripting. Además, se recomienda a los administradores del sitio ser cautelosos al hacer clic en enlaces no verificados y mantener sus plugins de WordPress actualizados regularmente para protegerse contra posibles amenazas de seguridad. También es aconsejable implementar medidas de seguridad adicionales, como firewalls y sistemas de detección de intrusos, para reforzar la protección del sitio.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y estar al tanto de las vulnerabilidades conocidas para evitar posibles inyecciones de código malicioso en sus sitios. Al tomar medidas preventivas como estas, se puede reducir significativamente el riesgo de compromisos de seguridad y proteger la integridad de la información del sitio.