La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions para WordPress afecta a todas las versiones hasta la 2.12.10. Esta vulnerabilidad se debe a la falta de validación de nonce en la función pmpro_lifter_save_streamline_option(). Esto permite a atacantes no autenticados habilitar la configuración streamline con Lifter LMS a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Paid Memberships Pro a la última versión disponible. Además, se sugiere a los administradores del sitio implementar medidas de protección adicionales, como la implementación de tokens CSRF en los formularios del sitio y la configuración de políticas de seguridad estrictas en el servidor para prevenir ataques de tipo CSRF.
Es crucial que los usuarios y administradores de sitios web sean conscientes de las vulnerabilidades de seguridad en los plugins de WordPress y tomen medidas proactivas para proteger sus sitios contra posibles ataques, como en el caso de Paid Memberships Pro <= 2.12.10 – Cross-Site Request Forgery (CSRF).