Falha de segurança crítica em plugin do WordPress expõe contas de usuários
Uma falha de segurança crítica foi divulgada no plugin Social Login and Register da miniOrange para WordPress, que poderia permitir a um ator malicioso fazer login como usuário. Rastreada como CVE-2023-2982, a falha de bypass de autenticação afeta todas as versões do plugin, incluindo as anteriores à 7.6.4. “A vulnerabilidade possibilita que um invasor não autenticado obtenha acesso a qualquer conta em um site, incluindo contas usadas para administrar o site, se o invasor souber ou puder encontrar o endereço de e-mail associado”, disse o pesquisador do Wordfence István Márton.
O problema está enraizado no fato de que a chave de criptografia usada para proteger as informações durante o login usando contas de mídia social é codificada, levando a um cenário onde os invasores poderiam criar uma solicitação válida com um endereço de e-mail devidamente criptografado usado para identificar o usuário. Se a conta pertencer ao administrador do site WordPress, isso pode resultar em um comprometimento total. O plug-in é usado em mais de 30.000 sites.
Publicado em: Cybersegurança