La vulnerabilidad de autenticación en el plugin WooCommerce – Social Login para WordPress en versiones hasta, e incluyendo, 2.7.5, permite a los atacantes eludir la autenticación y tomar el control de cuentas de usuario.
La vulnerabilidad CVE-2024-7503 se produce al utilizar una comparación débil del código de activación en la función ‘woo_slg_confirm_email_user’. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al identificador de usuario. Para explotar esta vulnerabilidad, es necesario tener el módulo de correo electrónico habilitado.
Se recomienda a los usuarios de WooCommerce – Social Login que actualicen a la última versión disponible y deshabiliten cualquier módulo que no sea necesario para reducir el riesgo de un ataque de toma de control de cuenta.