El plugin MStore API – Crear Aplicaciones Nativas para Android e iOS en la Nube para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 4.14.7. Esto se debe a una verificación insuficiente en el parámetro ‘phone’ de las funciones ‘firebase_sms_login’ y ‘firebase_sms_login_v2’. Esto permite a atacantes no autenticados acceder a cualquier usuario existente en el sitio, como un administrador, si tienen acceso a la dirección de correo electrónico o número de teléfono. Además, si se proporciona una nueva dirección de correo electrónico, se crea una nueva cuenta de usuario con el rol predeterminado, incluso si el registro está deshabilitado.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin MStore API a la versión 4.14.8 o superior, donde se ha corregido esta vulnerabilidad de autenticación. Además, se sugiere a los administradores del sitio restringir el acceso a la página de inicio de sesión y las funciones relacionadas solo a usuarios autorizados. También es importante implementar medidas de seguridad adicionales, como la autenticación de dos factores y la supervisión constante de actividad sospechosa en el sitio.
Es crucial que los usuarios tomen medidas inmediatas para proteger sus sitios de posibles ataques de autenticación y proteger la información confidencial de los usuarios. Mantener los plugins y temas actualizados, junto con la implementación de buenas prácticas de seguridad, es esencial para mantener la integridad y la seguridad de un sitio WordPress.