El plugin de Calendario de Reservas y Plugin de Programación en Línea – BookingPress para WordPress es vulnerable a un bypass de autenticación en las versiones 1.1.6 a 1.1.7. Esto se debe a que el plugin no verifica adecuadamente la identidad de un usuario antes de iniciar sesión al completar una reserva. Esto hace posible que atacantes no autenticados inicien sesión como usuarios registrados, incluidos administradores, si tienen acceso al correo electrónico de ese usuario. Esto solo es explotable cuando la configuración ‘Auto iniciar sesión de usuario después de una reserva exitosa’ está habilitada.
Los usuarios afectados por esta vulnerabilidad deben deshabilitar la opción ‘Auto iniciar sesión de usuario después de una reserva exitosa’ en la configuración del plugin. Se recomienda que los administradores cambien las contraseñas de todos los usuarios afectados y revisen las actividades recientes en sus sitios para detectar posibles intrusiones. Además, se debe informar al desarrollador del plugin para que pueda solucionar el problema y lanzar una actualización de seguridad.
Es importante tomar medidas proactivas para proteger la seguridad de tu sitio web y de tus usuarios. Al seguir las recomendaciones mencionadas, se puede reducir el riesgo de un ataque de toma de control de cuenta a través de este bypass de autenticación en el plugin BookingPress.