El plugin MStore API – Crear Aplicaciones Nativas para Android e iOS en la Nube para WordPress es vulnerable a registro de usuarios no autorizados en todas las versiones hasta, e incluyendo, la 4.15.3. Esto se debe a que el plugin no verifica que el registro de usuarios esté habilitado antes de crear una cuenta de usuario a través de la función register(). Esto hace posible que atacantes no autenticados creen cuentas de usuario en sitios, incluso cuando el registro de usuarios está deshabilitado y la funcionalidad del plugin no está activada.
El ID CVE asociado a esta vulnerabilidad es CVE-2024-8269. La falta de un control adecuado de acceso en el plugin MStore API puede permitir a un atacante no autenticado crear cuentas de usuario sin autorización en un sitio web que lo esté utilizando. Para mitigar este riesgo, se recomienda a los usuarios afectados actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere revisar la configuración de registro de usuarios en WordPress y asegurarse de que solo usuarios autorizados puedan crear cuentas en el sitio.
La importancia de mantener actualizados los plugins y revisar la configuración de seguridad en WordPress es crucial para protegerse contra posibles vulnerabilidades como el registro de usuarios no autorizados en el plugin MStore API. Al tomar medidas proactivas, se puede proteger la integridad y seguridad de los sitios web en línea.