Omisión de autenticación hallada en plugin ‘Web3 – Crypto Wallet’ de WordPress

El complemento “Web3 – Crypto wallet Login & NFT token gating” para WordPress, que permite a los usuarios ingresar con sus credenciales de “Crypto Wallet”, ha sido detectado vulnerable a una omisión de autenticación.

La vulnerabilidad, está identificada con un CVE-2023-3249 que se clasifica como CRÍTICO y con un puntaje base CVSS de 9.8. Esto se debe a una autenticación incorrecta en la función «hidden_form_data«, por lo tanto, un atacante puede iniciar sesión en el sitio como cualquier usuario existente inclusive como un administrador solo si conoce el nombre de usuario de la cuenta.

Producto y Versiones Afectadas

Web3 – Crypto wallet Login & NFT token gating en su versión 2.6.0 y anteriores.

Solución

Por el momento no existe parche que solucione esta vulnerabilidad.

Recomendación

Se recomienda a los usuarios desinstalar el software afectado y buscar uno que reemplace sus funciones.

Referencias

Para más información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: