Se ha identificado una vulnerabilidad crítica en el plugin Social Login para WordPress, que permite a atacantes no autenticados acceder a cuentas de usuario existentes en el sitio, incluyendo cuentas administrativas.
- CVE-2024-10961 (CVSS 9.8): El plugin presenta una falla de verificación insuficiente al procesar el token de inicio de sesión social. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario en el sitio, siempre que posean acceso al correo electrónico y que el usuario no tenga una cuenta preexistente para el servicio que genera el token.
Producto y versiones afectadas:
- Versiones menores o iguales a la 5.9.0 del plugin Social Login para WP.
Solución:
- Actualmente, no existe un parche disponible para mitigar esta vulnerabilidad.
Recomendaciones:
- Desinstalar el plugin Social Login para WordPress en todos los sitios afectados.
- Evaluar y utilizar plugins alternativos con una mejor gestión de seguridad para el inicio de sesión social.
- Monitorear los accesos al sitio y actualizar las contraseñas de los usuarios afectados como medida preventiva.
Referencias: