El plugin ProfilePress Pro para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 4.11.1. Esto se debe a una verificación insuficiente sobre el usuario que devuelve el token de inicio de sesión social. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como por ejemplo un administrador, si tienen acceso al correo electrónico y el usuario no tiene una cuenta existente para el servicio que devuelve el token.
La vulnerabilidad CVE-2024-9947 en el plugin ProfilePress Pro permite a un atacante no autenticado eludir el proceso de autenticación en el sitio web de WordPress. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la versión 4.11.2 o superior, donde se han implementado correcciones de seguridad. Además, se sugiere a los administradores que monitoreen de cerca las actividades de inicio de sesión en el sitio para detectar posibles accesos no autorizados.
Es crucial mantener los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas y potenciales. Además, es importante seguir las mejores prácticas de seguridad, como utilizar contraseñas seguras y habilitar la autenticación de dos factores, para garantizar la integridad y seguridad del sitio web.