La vulnerabilidad CVE-2023-7247 permite a atacantes comprometer cuentas de administrador en el plugin Login as User or Customer para WordPress en la versión 3.8. Esta vulnerabilidad se debe a que el plugin no valida que el usuario que regresa a la cuenta administrativa sea el usuario que inició la sesión original como otro usuario. Esto permite a atacantes no autenticados acceder a cuentas de usuario administrativas mientras se está llevando a cabo un cambio de usuario por un administrador. Es importante destacar que para explotar esta vulnerabilidad sería extremadamente difícil, ya que depende de que el administrador cambie a otro usuario y que el atacante conozca el ID de usuario del administrador y el ID de usuario del usuario al que el administrador cambió. Tal vez sea posible mediante ingeniería social.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Login as User or Customer a una versión posterior a la 3.8 que haya corregido esta vulnerabilidad. Además, se recomienda a los administradores restringir el acceso al panel de administración a través de VPN o direcciones IP específicas para limitar el acceso a posibles atacantes. También es importante educar a los usuarios sobre la importancia de proteger sus credenciales de acceso y ser conscientes de posibles intentos de phishing o ingeniería social.
Es crucial tomar medidas preventivas para proteger la seguridad de las cuentas administrativas en WordPress y estar al tanto de las vulnerabilidades conocidas en plugins y temas. Mantener todos los plugins y temas actualizados y restringir el acceso a la administración son pasos clave para evitar compromisos de seguridad.