Uma falha de segurança crítica foi divulgada no plugin Social Login and Register da miniOrange para WordPress, que poderia permitir a um ator malicioso fazer login como usuário.

Rastreada como CVE-2023-2982, a falha de bypass de autenticação afeta todas as versões do plugin, incluindo as anteriores à 7.6.4.

“A vulnerabilidade possibilita que um invasor não autenticado obtenha acesso a qualquer conta em um site, incluindo contas usadas para administrar o site, se o invasor souber ou puder encontrar o endereço de e-mail associado”, disse o pesquisador do Wordfence István Márton.

O problema está enraizado no fato de que a chave de criptografia usada para proteger as informações durante o login usando contas de mídia social é codificada, levando a um cenário onde os invasores poderiam criar uma solicitação válida com um endereço de e-mail devidamente criptografado usado para identificar o usuário.

Se a conta pertencer ao administrador do site WordPress, isso pode resultar em um comprometimento total. O plug-in é usado em mais de 30.000 sites.