WordPress Social Login and Register login authentication bypass (CVE-2023-2982)
Se ha revelado una falla de seguridad crítica en el complemento de inicio de sesión y registro social de miniOrange para WordPress que podría permitir que un actor malicioso inicie sesión si la dirección de correo electrónico de algún usuario.
Registrado como CVE-2023-2982 (puntaje CVSS: 9.8), la falla de omisión de autenticación afecta a todas las versiones del complemento, incluida y anterior a la 7.6.4. Se abordó el 14 de junio de 2023 con el lanzamiento de la versión 7.6.5 luego de la divulgación responsable el 2 de junio de 2023.
"La vulnerabilidad hace posible que un atacante no autenticado obtenga acceso a cualquier cuenta en un sitio, incluidas las cuentas utilizadas para administrar el sitio, si el atacante conoce o puede encontrar la dirección de correo electrónico asociada", dijo el investigador de Wordfence István Márton.
El problema tiene su origen en el hecho de que la clave de cifrado utilizada para proteger la información durante el inicio de sesión utilizando cuentas de redes sociales está codificada, lo que lleva a un escenario en el que los atacantes podrían crear una solicitud válida con una dirección de correo electrónico correctamente cifrada utilizada para identificar al usuario..
Si la cuenta pertenece al administrador del sitio de WordPress, podría resultar en un compromiso total. El complemento se utiliza en más de 30.000 sitios.
Versiones Afectadas
Afecta a todas las versiones del complemento, incluida y anterior a la 7.6.4
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2023-2982
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2982
https://packetstormsecurity.com/files/cve/CVE-2023-2982
https://thehackernews.com/2023/06/critical-security-flaw-in-social-login.htm
.jpg)
