El plugin Bot para Telegram en WooCommerce para WordPress es vulnerable a la divulgación de información sensible debido a la falta de controles de autorización en la acción AJAX ‘stm_wpcfto_get_settings’ en todas las versiones hasta, e incluyendo, la 1.2.4.
Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, ver el Token de Telegram del Bot, un token secreto utilizado para controlar el bot, lo que luego se puede utilizar para iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si conocen el nombre de usuario, debido a la función de ‘Iniciar sesión con Telegram’.
Para mitigar este problema, se recomienda a los usuarios que actualicen a la última versión del plugin Bot para Telegram en WooCommerce y consideren desactivar temporalmente la función de ‘Iniciar sesión con Telegram’ hasta que se aplique un parche de seguridad adecuado.