La vulnerabilidad CVE-2024-7628 encontrada en el plugin MStore API – Crear aplicaciones nativas Android y iOS en la nube para WordPress permite a atacantes evadir la autenticación y tomar el control de cuentas de usuario.
La versión 4.15.2 y anteriores de este plugin presentan una falla de seguridad que permite a atacantes no autenticados ingresar al sitio como cualquier usuario existente, incluido un administrador, si tienen acceso a una dirección de correo electrónico o número de teléfono @flutter.io. Esta vulnerabilidad se produce debido al uso de comparaciones débiles en la función ‘verify_id_token’, sumado a la necesidad de tener configurado firebase en el sitio web y que el usuario haya configurado firebase para su cuenta.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la versión más reciente y, si no es imprescindible, deshabilitar temporalmente firebase en el sitio hasta que se haya corregido este problema de seguridad.