El plugin WP ULike – The Ultimate Engagement Toolkit for Websites para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta, e incluyendo, la 4.7.4. Esta vulnerabilidad se debe a la falta o incorrecta validación de nonce en la función wp_ulike_delete_history_api(). Esto hace posible que atacantes no autenticados puedan borrar interacciones a través de una solicitud falsificada siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Una posible solución para mitigar este problema es actualizar el plugin WP ULike a la versión más reciente disponible, en la cual se hayan corregido los errores de validación de nonce. Además, se recomienda a los usuarios no hacer clic en enlaces sospechosos o no solicitados para evitar posibles ataques de falsificación de solicitudes entre sitios.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas como esta de Cross-Site Request Forgery en WP ULike <= 4.7.4.