La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Classified Listing – Classified ads & Business Directory Plugin para WordPress en versiones anteriores a la 3.0.4 pone en riesgo la seguridad de los administradores del sitio, permitiendo a atacantes no autenticados cambiar la contraseña y la dirección de correo electrónico del usuario administrador a través de una solicitud falsificada.
El problema radica en la falta de validación de nonce en la función ‘rtcl_update_user_account’. Esto significa que un atacante podría engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace, lo que les permitiría cambiar la contraseña del administrador y acceder a su cuenta. Esto dejaría al administrador fuera del sitio sin poder restablecer su contraseña, mientras que el atacante tendría acceso a la cuenta.
Es importante que los usuarios de Classified Listing actualicen a la última versión disponible para protegerse de esta vulnerabilidad. Además, se recomienda a los administradores de sitios web utilizar medidas de seguridad adicionales, como autenticación de dos factores, para evitar posibles ataques de suplantación de cuenta a través de CSRF.