El plugin UserPro para WordPress es vulnerable a un Bypass de Característica de Seguridad en todas las versiones hasta, e incluyendo, la 5.1.6. Esto se debe al uso de restricciones en el lado del cliente para hacer cumplir la característica de ‘Registro deshabilitado’ de membresía dentro de la configuración general del plugin. Esto permite a atacantes no autenticados registrarse en una cuenta incluso cuando el registro de cuentas ha sido deshabilitado por un administrador.
El plugin UserPro para WordPress es ampliamente utilizado para gestionar y administrar perfiles de usuarios en sitios web. Sin embargo, la versión hasta la 5.1.6 es vulnerable a un Bypass de registro de membresía deshabilitada.
Para explotar esta vulnerabilidad, los atacantes no autenticados pueden simplemente registrar nuevas cuentas en el sitio web, a pesar de que el registro de cuentas ha sido deshabilitado por un administrador.
Esta vulnerabilidad es especialmente preocupante para sitios web que buscan controlar el acceso a contenido exclusivo o sensible a través de la función de membresía. Los usuarios malintencionados pueden registrarse sin restricciones y acceder a contenido restringido en el sitio.
Para mitigar esta vulnerabilidad, se recomienda actualizar a la última versión del plugin UserPro tan pronto como esté disponible. Además, se recomienda revisar la configuración de membresía en el plugin y asegurarse de que esté correctamente configurado para evitar posibles bypass.
La vulnerabilidad de Bypass de registro de membresía deshabilitada en el plugin UserPro para WordPress puede exponer a sitios web a ataques de registro no autorizados. Los usuarios de este plugin deben tomar medidas inmediatas para actualizar a la última versión y revisar la configuración de membresía para evitar posibles bypass. La seguridad de un sitio web es esencial y mantener todos los plugins y software actualizados es una práctica fundamental para protegerse contra posibles vulnerabilidades.