El plugin Heateor Social Login para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 1.1.35. Esto se debe a una verificación insuficiente en el usuario devuelto por el token de inicio de sesión social.
Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, si tienen acceso al correo electrónico y el usuario no tiene una cuenta ya existente para el servicio que devuelve el token. Un atacante no puede autenticarse como administrador de forma predeterminada, pero estas cuentas también están en riesgo si la autenticación para administradores ha sido permitida explícitamente a través del inicio de sesión social.
Para subsanar este problema, los usuarios afectados por esta vulnerabilidad deben desactivar temporalmente el plugin Heateor Social Login y buscar una actualización que parchee la vulnerabilidad lo antes posible.