El plugin Customer Email Verification for WooCommerce en WordPress es vulnerable a la verificación de email y al bypass de autenticación en todas las versiones hasta, e incluyendo, la 2.7.4 debido al uso de códigos de activación insuficientemente aleatorios.
Esto permite a atacantes no autenticados evadir la verificación de email, y si ambas opciones ‘Iniciar sesión automáticamente al verificar la cuenta’ y ‘Verificar cuenta para usuarios actuales’ están activadas, entonces potencialmente permite a los atacantes evadir la autenticación de otros usuarios.
Para mitigar esta vulnerabilidad, se recomienda actualizar a la última versión del plugin, o en su defecto desactivar temporalmente la verificación de email hasta que se publique una solución oficial. Además, se puede considerar implementar medidas adicionales de seguridad como la autenticación de dos factores para proteger las cuentas de los usuarios.