El plugin UltimateAI para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 2.8.3. Esto se debe a una verificación insuficiente en el usuario suministrado en la función ‘ultimate_ai_register_or_login_with_google’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico.
La vulnerabilidad CVE-2024-9105 permite a un atacante no autenticado aprovecharse de una falla en la verificación de usuarios en el plugin UltimateAI. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin, en este caso, la versión 2.8.4. Además, se sugiere implementar medidas adicionales de seguridad, como la autenticación de dos factores o la limitación de acceso a ciertas funciones del plugin basado en roles de usuario.
La autenticación bypass en UltimateAI hasta la versión 2.8.3 representa un riesgo significativo para la seguridad de los sitios web de WordPress. Es crucial que los administradores tomen medidas proactivas para proteger sus sitios, como mantener sus plugins actualizados y configurar capas adicionales de seguridad para mitigar posibles vulnerabilidades.