El plugin WP SMS – Mensajería y Notificaciones SMS para WordPress, WooCommerce, GravityForms, etc., para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, 6.5. Esto se debe a la validación de nonce ausente o incorrecta en la acción ‘delete’ de la página wp-sms-subscribers. Esto permite que atacantes no autenticados eliminen suscriptores mediante una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.
El plugin WP SMS – Mensajería y Notificaciones SMS para WordPress, WooCommerce, GravityForms, etc., es una herramienta popular utilizada para enviar mensajes y notificaciones SMS en sitios web de WordPress. Sin embargo, la versión 6.5 y anteriores del plugin sufren de una vulnerabilidad de Cross-Site Request Forgery (CSRF) que pone en peligro la integridad de los datos del sitio.
La vulnerabilidad radica en la falta de validación de nonce en la acción ‘delete’ de la página wp-sms-subscribers. Un atacante no autenticado puede aprovechar esto y engañar a un administrador del sitio para que elimine suscriptores mediante una solicitud falsificada.
Para mitigar esta vulnerabilidad y proteger su sitio WordPress, se recomienda seguir estas medidas de seguridad:
1. Actualice a la última versión del plugin WP SMS tan pronto como sea posible. El desarrollador ha lanzado una actualización de seguridad que soluciona esta vulnerabilidad.
2. Sea cauteloso al hacer clic en enlaces o abrir archivos adjuntos de fuentes desconocidas. No haga clic en enlaces sospechosos o abra archivos adjuntos de correos electrónicos no solicitados.
3. Implemente una solución de seguridad de aplicaciones web (WAF) que pueda detectar y bloquear ataques de Cross-Site Request Forgery (CSRF).
Al seguir estas medidas de seguridad, puede proteger su sitio WordPress de este tipo de ataques y garantizar la seguridad de los datos de sus suscriptores. Mantenerse actualizado con las últimas actualizaciones de seguridad y practicar buenas prácticas de seguridad en línea también es fundamental.
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP SMS – Mensajería y Notificaciones SMS para WordPress, WooCommerce, GravityForms, etc., versión 6.5 y anteriores, permite a atacantes no autenticados eliminar suscriptores mediante solicitudes falsificadas. Para proteger su sitio, es crucial actualizar el plugin, tener precaución al hacer clic en enlaces desconocidos y considerar la implementación de una solución de seguridad de aplicaciones web (WAF). Tomar estas medidas ayudará a prevenir futuros ataques CSRF y garantizará la integridad de los datos de sus suscriptores.