La vulnerabilidad de escalada de privilegios no autenticada en el plugin WooCommerce – Social Login para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.7.3. Esto se debe a la falta de controles de fuerza bruta en una contraseña de un solo uso débil. Esto hace posible que atacantes no autenticados realicen fuerza bruta en la contraseña de un solo uso para cualquier usuario, excepto un Administrador, si conocen el correo electrónico del usuario.
La vulnerabilidad identificada con el ID CVE: ‘CVE-2024-6637’ permite a los ciberdelincuentes obtener privilegios no autorizados en sitios web que utilizan el plugin WooCommerce – Social Login. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Además, se puede considerar restringir el acceso a la página de inicio de sesión solo a direcciones IP específicas o implementar un sistema de autenticación de dos factores para incrementar la seguridad.
Mantener actualizados los plugins y aplicar buenas prácticas de seguridad, como la autenticación de dos factores, son medidas clave para proteger los sitios web de posibles vulnerabilidades como la identificada en WooCommerce – Social Login. La colaboración activa entre los desarrolladores de plugins y los usuarios finales es esencial para garantizar la seguridad de las plataformas WordPress.