El plugin de Social Share, Social Login y Social Comments – Super Socializer para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 7.13.68. Esto se debe a una verificación insuficiente del usuario que regresa el token de inicio de sesión social. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, si tienen acceso al correo electrónico y el usuario no tiene una cuenta existente para el servicio que envía el token. Un atacante no puede autenticarse como administrador por defecto, pero estas cuentas también están en riesgo si la autenticación para administradores ha sido permitida explícitamente a través del inicio de sesión social. La vulnerabilidad fue parcialmente parcheada en la versión 7.13.68.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar el plugin a la versión más reciente disponible, que incluya el parche para el bypass de autenticación. Adicionalmente, se recomienda implementar medidas de seguridad adicionales como la autenticación de dos factores para proteger las cuentas de usuario. También es importante educar a los usuarios sobre las prácticas seguras de inicio de sesión y la importancia de mantener sus contraseñas seguras y actualizadas.
Es crucial que los administradores de sitios web de WordPress estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios y usuarios. La actualización del plugin y la implementación de medidas de seguridad adicionales son pasos importantes para mitigar el riesgo de un ataque de bypass de autenticación.