Fuente base de datos: Wordfence Intelligence

WordPress Single Sign-On (SSO) - Multiple Versions - Incorrect Authorization to Sensitive Information Exposure

PLUGIN MEDIUM CVE-2025-6003

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo exposición de información sensible en el plugin WordPress Single Sign-On (SSO) de miniOrange. Esta falla puede permitir que usuarios no autorizados accedan a información sensible en múltiples versiones del plugin.

Contexto técnico

La vulnerabilidad se origina en una incorrecta autorización de acceso, lo que permite que se exponga información que debería estar protegida. Esto afecta a la seguridad de las aplicaciones que utilizan este plugin para la autenticación y gestión de identidades.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 5.3, lo que sugiere que podría ser explotada por atacantes para obtener acceso no autorizado a datos sensibles, comprometiendo la integridad y la confidencialidad de la información de los usuarios.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad puede realizarse mediante el envío de solicitudes maliciosas que omiten los controles de autorización, permitiendo así el acceso a datos restringidos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 30.5.4 o superior. Además, es aconsejable revisar las configuraciones de autorización y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a información sensible y registros de errores que indiquen intentos de acceso no autorizado.

Alcance afectado

Las versiones afectadas son todas las versiones anteriores a la 30.5.4 del plugin miniOrange OAuth OIDC Single Sign-On.