El plugin Extensions by HocWP Team para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, 0.2.3.2. Esto se debe a la ausencia de validación en el usuario suministrado en la acción ‘verify_email’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador. La vulnerabilidad se encuentra en la extensión de la Cuenta.
Un atacante podría aprovechar esta vulnerabilidad para comprometer la seguridad del sitio web y realizar acciones malintencionadas en nombre de usuarios legítimos. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Extensions by HocWP Team a la última versión disponible lo antes posible. Además, se sugiere revisar los permisos de usuario y roles para asegurarse de que solo el personal autorizado tenga acceso a funciones administrativas.
Es crucial para la seguridad de un sitio web WordPress mantener todos los plugins y temas actualizados a sus últimas versiones para mitigar el riesgo de posibles vulnerabilidades. La prevención y la rápida respuesta ante estos problemas son fundamentales para proteger la integridad del sitio y la información de los usuarios.