The WP Responsive Popup + Optin plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to and including 1.4. This is due to the settings form on the admin page (wpo_admin_page.php) lacking nonce generation (wp_nonce_field) and verification (wp_verify_nonce/check_admin_referer). This makes it possible for unauthenticated attackers to update all plugin settings including the 'wpo_image_url' parameter via a forged request, granted they can trick a site administrator into performing an action such as clicking a link.
The WP Responsive Popup + Optin plugin for WordPress versions up to 1.4 is vulnerable to Cross-Site Request Forgery (CSRF) attacks due to missing nonce verification in the admin settings form. Unauthenticated attackers can modify plugin settings by tricking administrators into clicking malicious links.
تفتقر إضافة WP Responsive Popup + Optin إلى آليات حماية CSRF في نموذج الإعدادات الإداري، مما يسمح للمهاجمين بتعديل جميع إعدادات الإضافة بما في ذلك معاملات الصور. يمكن للمهاجمين استغلال هذه الثغرة بخداع مسؤولي الموقع لتنفيذ إجراءات غير مقصودة عبر طلبات مزيفة.
WP Responsive Popup + Optin plugin for WordPress versions up to 1.4 is vulnerable to Cross-Site Request Forgery (CSRF) attacks due to missing nonce verification in the admin settings form. Unauthenticated attackers can modify plugin settings by tricking administrators into clicking malicious links.
Update the WP Responsive Popup + Optin plugin to version 1.5 or later immediately. Add wp_nonce_field() to the settings form and implement wp_verify_nonce() or check_admin_referer() verification for all form submissions. Disable the plugin if updates are unavailable until patched.
قم بتحديث إضافة WP Responsive Popup + Optin إلى الإصدار 1.5 أو أحدث فوراً. أضف wp_nonce_field() إلى نموذج الإعدادات وقم بتنفيذ التحقق من wp_verify_nonce() أو check_admin_referer() لجميع عمليات إرسال النموذج. عطّل الإضافة إذا لم تكن التحديثات متاحة حتى يتم إصلاحها.