Recopilación de vulnerabilidades WordPress.

Vulnerabilidad en el plugin Lock User Account <= 1.0.5 – Bypass de Bloqueo de Usuario

El plugin Lock User Account para WordPress es vulnerable a un bypass de bloqueo de usuario en todas las versiones hasta, e incluyendo, la 1.0.5. Esto se debe a que permite iniciar sesión con contraseñas de aplicación cuando las cuentas de usuario están bloqueadas. Esto hace posible que atacantes autenticados, con contraseñas de aplicación existentes, interactúen con el sitio vulnerable a través de una API como XML-RPC o REST a pesar de que su cuenta esté bloqueada.

Los usuarios afectados por esta vulnerabilidad deben desactivar temporalmente el plugin Lock User Account hasta que se publique una actualización que resuelva este problema. Mientras tanto, se recomienda restringir el acceso a la API en WordPress a través de medidas de seguridad adicionales, como limitar las peticiones XML-RPC o restringir el acceso REST a usuarios autorizados solamente.
Es crucial mantenerse al tanto de las vulnerabilidades en los plugins de WordPress y tomar medidas proactivas para proteger la seguridad de su sitio. En este caso, la vulnerabilidad en Lock User Account <= 1.0.5 destaca la importancia de revisar regularmente la seguridad de los plugins instalados y seguir las mejores prácticas para mitigar posibles riesgos de seguridad.

Related Article