El plugin Sign In With Google para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 1.8.0. Esto se debe a que la función de usuario ‘authenticate_user’ no implementa suficientes comprobaciones de valores nulos al establecer el token de acceso y la información del usuario. Esto hace posible que atacantes no autenticados inicien sesión como el primer usuario que haya iniciado sesión utilizando Google OAuth, lo que podría ser el administrador del sitio.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin a la última versión disponible (superior a la 1.8.0) para corregir este fallo de seguridad. Además, se recomienda a los usuarios afectados revisar los registros de actividad del plugin en busca de posibles accesos no autorizados y tomar las medidas necesarias para garantizar la integridad de sus sitios web.
Es fundamental estar al tanto de las vulnerabilidades de los plugins que utilizamos en WordPress y mantener siempre actualizados todos los componentes del sitio para evitar posibles ataques. La seguridad de nuestros sitios web es responsabilidad de todos los usuarios.