Fuente base de datos: Wordfence Intelligence

WooCommerce - Social Login <= 2.6.2 - Unauthenticated PHP Object Injection

PLUGIN CRITICAL CVE-2024-5871

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WooCommerce - Social Login, que permite la inyección de objetos PHP no autenticados. Esta falla, catalogada con un CVSS de 9.8, puede comprometer gravemente la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de los datos de entrada, lo que permite a un atacante inyectar objetos PHP maliciosos sin necesidad de autenticación. Esto expone a las aplicaciones a la ejecución remota de código (RCE), lo que puede resultar en el control total del servidor.

Impacto potencial

El impacto potencial incluye la pérdida de datos, la alteración de la funcionalidad del sitio y la posibilidad de que los atacantes tomen el control del entorno de WordPress. Esto puede traducirse en daños a la reputación de la marca y pérdidas económicas significativas.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes específicamente diseñadas que aprovechan la falta de control sobre los objetos PHP. Esto se puede hacer sin necesidad de estar autenticados, lo que aumenta el riesgo.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.6.3 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la restricción de acceso a las áreas críticas del sitio y la revisión de los logs de actividad.

Señales de detección

Señales de riesgo pueden incluir actividades inusuales en los logs de acceso, intentos de inyección de código en las peticiones HTTP y cambios no autorizados en la configuración del plugin.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin WooCommerce - Social Login hasta la 2.6.2. Las instalaciones que no han sido actualizadas a la versión 2.6.3 están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woo-social-login

WooCommerce Social Login <= 2.8.2 - Cross-Site Request Forgery

HIGH PLUGIN

woo-social-login

Social Login - WordPress / WooCommerce Plugin <= 2.7.7 - Authentication Bypass via WordPress.com OAuth provider

CRITICAL PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.5 - Authentication Bypass to Account Takeover

CRITICAL PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.3 - Missing Authorization to Unauthenticated Privilege Escalation

HIGH PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.3 - Unauthenticated Authentication Bypass

HIGH PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.3 - Unauthenticated Privilege Escalation via One-Time Password

CRITICAL PLUGIN

woo-social-login

WooCommerce Social Login <= 2.6.3 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.6.2 - Email Verification due to Insufficient Randomness

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto