El plugin Custom Login Page Styler – Login Protected Private Site, Change wp-admin login url, WordPress login logo, Temporary admin login access, Rename login, Login customizer, Hide wp-login – Limit Login Attempts – Locked Site para WordPress es vulnerable a la escalada de privilegios debido a la falta de verificación de capacidades en la acción AJAX ‘lps_generate_temp_access_url’ en todas las versiones hasta, e incluyendo, la 7.1.1. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, iniciar sesión como otros usuarios, como suscriptores.
Los usuarios afectados por esta vulnerabilidad en el plugin ALL In One Custom Login Page deben asegurarse de actualizar a la última versión disponible, en este caso, a la versión 7.1.2 o posterior. Además, se recomienda limitar el acceso de los roles de Suscriptor y superior a funcionalidades sensibles dentro del sitio para reducir el riesgo de escalada de privilegios. Los propietarios de sitios web también pueden monitorear de cerca la actividad de inicio de sesión y establecer alertas para detectar cualquier actividad sospechosa.
Es crucial para la seguridad de un sitio web WordPress mantener todos los plugins y temas actualizados para protegerse contra posibles vulnerabilidades. En el caso del plugin ALL In One Custom Login Page, la falta de autorización adecuada puede dar lugar a serias consecuencias en términos de privacidad y seguridad de los datos de los usuarios.