Kode di atas tidak memiliki bagian yang melakukan pemeriksaan untuk memastikan bahwa permintaan yang masuk berasal dari sumber yang sah. Hal ini mengakibatkan potensi risiko manipulasi yang disengaja atau tidak.
Potensi kerentanan ini dapat dimanfaatkan oleh aktor kejahatan untuk mengelabui administrator yang login untuk membuat perubahan yang tidak diinginkan lewat halaman web yang memicu permintaan POST yang berbahaya.
Patch (perbaikan) dengan menambahkan nonce validation
Nonce adalah token yang berlaku satu kali, yang memastikan permintaan dibuat secara sengaja oleh pengguna yang sah. Nonce menambahkan lapisan keamanan agar permintaan palsu yang disengaja (deliberate tampering) dapat ditolak. Referensi.
Implementasinya seperti ini:
P.S.:
Snippet di atas didapat dari riset software plugin WordPress: Classic Editor and Classic Widgets