El plugin Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.0.1.
La vulnerabilidad radica en la falta de validación de nonce en la función pmpro_update_level_group_order(), lo que permite a atacantes no autenticados actualizar los niveles de orden a través de una solicitud falsificada si logran engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Paid Memberships Pro y tomar medidas de seguridad adicionales como implementar controles de acceso de autenticación fuertes y educar a los administradores del sitio sobre las técnicas de engaño utilizadas por los atacantes en ataques de CSRF.