El plugin CE21 Suite para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 2.2.0. Esto se debe a una clave de cifrado codificada en la función ‘ce21_authentication_phrase’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico.
La vulnerabilidad CVE-2024-10284 permite a los atacantes eludir la autenticación en sitios que utilizan el plugin CE21 Suite 2.2.0 o anteriores. La clave de cifrado codificada de forma rígida en la función mencionada facilita la suplantación de identidad de usuarios legítimos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y buscar alternativas de autenticación seguras que no dependan de una clave codificada fija.
Es fundamental que los administradores de sitios web que utilicen el plugin CE21 Suite estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sistemas. La actualización a la última versión del plugin y la implementación de medidas de seguridad adicionales son pasos cruciales para prevenir ataques de bypass de autenticación.