Fuente base de datos: Wordfence Intelligence

WooCommerce Social Login <= 2.6.3 - Unauthenticated PHP Object Injection

PLUGIN CRITICAL CVE-2024-37502

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WooCommerce Social Login, que permite la inyección de objetos PHP no autenticados. Esta falla afecta a las versiones hasta la 2.6.3 y puede ser explotada para ejecutar código malicioso en el servidor.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja las solicitudes no autenticadas, permitiendo a un atacante inyectar objetos PHP maliciosos. Esto se traduce en una ejecución remota de código (RCE), lo que podría comprometer completamente el sitio web.

Impacto potencial

El impacto de esta vulnerabilidad es severo, ya que permite a un atacante ejecutar código arbitrario, lo que podría resultar en la pérdida de datos, alteración del sitio o incluso el control total del servidor. Esto puede conllevar a daños reputacionales y financieros significativos para las empresas afectadas.

Vector de explotación

Generalmente, los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas al servidor que contienen objetos PHP diseñados para ejecutar código malicioso, sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WooCommerce Social Login a la versión 2.7.0 o superior. Además, se sugiere revisar las configuraciones de seguridad del servidor y aplicar medidas de hardening para proteger el sitio contra futuras amenazas.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes HTTP inusuales que intentan acceder a funciones del plugin sin autenticación, así como comportamientos anómalos en el servidor que podrían indicar la ejecución de código no autorizado.

Alcance afectado

Las versiones del plugin WooCommerce Social Login hasta la 2.6.3 son vulnerables. Se recomienda a todos los usuarios de este plugin que verifiquen su versión y realicen la actualización correspondiente.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woo-social-login

WooCommerce Social Login <= 2.8.2 - Cross-Site Request Forgery

HIGH PLUGIN

woo-social-login

Social Login - WordPress / WooCommerce Plugin <= 2.7.7 - Authentication Bypass via WordPress.com OAuth provider

CRITICAL PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.5 - Authentication Bypass to Account Takeover

CRITICAL PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.3 - Missing Authorization to Unauthenticated Privilege Escalation

HIGH PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.3 - Unauthenticated Authentication Bypass

HIGH PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.7.3 - Unauthenticated Privilege Escalation via One-Time Password

CRITICAL PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.6.2 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

woo-social-login

WooCommerce - Social Login <= 2.6.2 - Email Verification due to Insufficient Randomness

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto