WordPress Social Login and Register <=7.5.12 - Missing Authorization to Plugin Settings Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'WordPress Social Login and Register' en versiones hasta la 7.5.12, que permite la falta de autorización para la actualización de la configuración del plugin. Esta vulnerabilidad tiene una severidad media con un CVSS de 6.5.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en las configuraciones del plugin, lo que permite a usuarios no autorizados modificar ajustes críticos. La superficie de ataque se centra en las funciones de configuración del plugin que no están debidamente protegidas.

Impacto potencial

Si un atacante logra explotar esta vulnerabilidad, podría alterar la configuración del plugin, lo que podría comprometer la seguridad del sitio web y afectar la experiencia del usuario. Esto podría resultar en una pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad podría realizarse mediante solicitudes maliciosas que intenten modificar la configuración del plugin sin la debida autorización, aprovechando las funciones vulnerables expuestas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 7.5.13 o superior. Además, se debe revisar la configuración de permisos y asegurar que solo los usuarios autorizados tengan acceso a la configuración del plugin.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin o intentos de acceso a funciones administrativas del plugin por usuarios no autenticados.

Alcance afectado

Las versiones del plugin 'WordPress Social Login and Register' hasta la 7.5.12 están afectadas. Se recomienda a los usuarios de este plugin verificar su versión y aplicar la actualización correspondiente.