El plugin Social Login para WordPress es vulnerable a un bypass de autenticación en todas las versiones hasta, e incluyendo, la 5.9.0. Esto se debe a una verificación insuficiente en el usuario devuelto por el token de inicio de sesión social. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico y el usuario no tiene una cuenta preexistente para el servicio que devuelve el token.
La vulnerabilidad del bypass de autenticación en el plugin Social Login <= 5.9.0, identificada con el ID CVE-2024-10961, permite a los atacantes no autenticados acceder a cuentas de usuario sin la necesidad de autenticación. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, que contiene parches de seguridad para corregir esta vulnerabilidad. Además, se aconseja a los administradores del sitio estar atentos a posibles actividades sospechosas en las cuentas de usuario.
Es fundamental mantener al día todas las extensiones y plugins de WordPress para garantizar la seguridad de tu sitio. Ante cualquier vulnerabilidad reportada, es importante tomar medidas inmediatas para mitigar posibles riesgos de seguridad en tu plataforma.