Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin miniOrange Social Login and Register de WordPress, que permitiría a un atacante no autenticado obtener acceso y realizar divulgación de información sensible del sitio web afectado.
La vulnerabilidad identificada como CVE-2023-2982, de severidad “Crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en el proceso de cifrado de autenticación en el inicio de sesión de cuentas de usuarios en el plugin miniOrange Social Login and Register de WordPress. Esto permitiría a un atacante remoto no autenticado a través de una solicitud especialmente diseñada que contenga una dirección de correo electrónico de cualquier usuario administrador existente en el sitio afectado, obtener acceso, iniciar sesión y realizar divulgación de información sensible.
El producto afectado es:
- Plugin miniOrange Social Login and Register de WordPress, versión 7.6.4 y anteriores.
Se recomienda instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://thehackernews.com/2023/06/critical-security-flaw-in-social-login.html
- https://www.wordfence.com/blog/2023/06/miniorange-addresses-authentication-bypass-vulnerability-in-wordpress-social-login-and-register-wordpress-plugin/
- https://nvd.nist.gov/vuln/detail/CVE-2023-2982
- https://wordpress.org/plugins/miniorange-login-openid/