El plugin WP Users Masquerade para WordPress es vulnerable a un bypass de autenticación en las versiones hasta, e incluyendo, la 2.0.0. Esto se debe a una incorrecta autenticación y comprobación de capacidades en la función ‘ajax_masq_login’. Esto hace posible que atacantes autenticados, con permisos de nivel suscriptor o superior, puedan iniciar sesión como cualquier usuario existente en el sitio, como un administrador.
Los usuarios afectados por esta vulnerabilidad deben desactivar temporalmente el plugin WP Users Masquerade hasta que se publique una actualización que aborde este problema. Además, se recomienda a los administradores del sitio revisar los registros de inicio de sesión en busca de actividades sospechosas y restablecer las contraseñas de los usuarios si es necesario como medida de precaución.
La vulnerabilidad de bypass de autenticación en WP Users Masquerade <= 2.0.0 representa un riesgo significativo para la seguridad de los sitios de WordPress. Es importante tomar medidas inmediatas para mitigar esta amenaza y proteger la integridad de los datos y la privacidad de los usuarios.