El plugin AppPresser para WordPress es vulnerable a un manejo incorrecto de excepciones de encriptación en las funciones ‘decrypt_value’ y ‘doCookieAuth’ en todas las versiones hasta, e incluyendo, la 4.3.2. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si previamente usaron el inicio de sesión a través de la API del plugin. Esto solo se puede explotar si la extensión ‘openssl’ de PHP no está cargada en el servidor.
Los usuarios afectados por esta vulnerabilidad pueden tomar medidas para mitigar el riesgo actualizando el plugin AppPresser a la última versión disponible, que corrige este problema de seguridad. Además, se recomienda a los administradores de sitios web verificar que la extensión ‘openssl’ de PHP esté cargada en el servidor para prevenir posibles intentos de explotación de esta vulnerabilidad.
Es fundamental mantener todos los plugins y componentes de WordPress actualizados para protegerse contra posibles amenazas de seguridad, como en el caso del fallo en el manejo incorrecto de excepciones de encriptación en AppPresser. La seguridad en línea es una responsabilidad compartida entre los desarrolladores y los usuarios finales.