The WP Editor plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.2.9.2. This is due to missing nonce verification in the 'add_plugins_page' and 'add_themes_page' functions. This makes it possible for unauthenticated attackers to overwrite arbitrary plugin and theme PHP files with attacker-controlled code via a forged request, granted they can trick a site administrator into performing an action such as clicking a link.
The WP Editor WordPress plugin versions up to 1.2.9.2 contain a Cross-Site Request Forgery vulnerability allowing unauthenticated attackers to overwrite plugin and theme files with malicious code. Attackers can exploit this by tricking administrators into clicking a malicious link, potentially leading to complete website compromise.
ملحق WP Editor للووردبريس يحتوي على ثغرة CSRF في الإصدارات حتى 1.2.9.2 بسبب غياب التحقق من الرموز الأمنية (nonce) في وظائف إضافة الملحقات والمواضيع. يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لاستبدال ملفات PHP الخاصة بالملحقات والمواضيع برموز خبيثة. الهجوم يتطلب خداع مسؤول الموقع للنقر على رابط ضار، مما قد يؤدي إلى اختراق كامل الموقع.
The WP Editor WordPress plugin versions up to 1.2.9.2 contain a Cross-Site Request Forgery vulnerability allowing unauthenticated attackers to overwrite plugin and theme files with malicious code. Attackers can exploit this by tricking administrators into clicking a malicious link, potentially leading to complete website compromise.
Update WP Editor plugin to version 1.2.9.3 or later immediately. Implement Web Application Firewall rules to detect and block CSRF attacks. Disable the plugin if immediate update is not possible. Review access logs for suspicious file modification activities.
قم بتحديث ملحق WP Editor إلى الإصدار 1.2.9.3 أو أحدث فوراً. طبق قواعد جدار حماية تطبيقات الويب للكشف عن هجمات CSRF وحجبها. عطّل الملحق إذا لم يكن التحديث الفوري ممكناً. راجع سجلات الوصول للبحث عن أنشطة تعديل ملفات مريبة.