Komoly biztonsági hiba érinti a miniOrange Social Login nevű bővítményét ─ figyelmezet a Wodfence. A hibát kihasználva a fenyegetési szereplő a hitelesítést megkerülve bármilyen (akár adminisztrátori jogosultságú) felhasználói fiókba is bejelentkezhet a sérülékeny weboldalon, amihez csupán a fiók tulajdonosának e-mail címét kell ismernie.
A több, mint 30 000 telepítéssel rendelkező Social Login bővítmény, lehetővé teszi, hogy az oldal felhasználói önálló regisztrálása helyett közösségi fiókjukkal (támogatott például a Facebook, Google, LinkedIn, Twitter, Apple, Discord, Twitch, Line, Wechat és további 40 platform) jelentkezzenek be, továbbá kommentelhetnek az oldalon és meg is oszthatnak tartalmakat.
A sérülékenység hátterében az áll, hogy a bővítmény egy beégetett titkosítási kulcsot használ a bejelentkezési folyamat során, amit a támadó kihasználhat arra, hogy hamis kérésekkel bármelyik fiókot kompromittálja.
További WordPresst érintő hibák a közelmúltból, amikre szintén érdemes figyelni:
- LearnDash LMS plugin (CVE-2023-3105 -CVSS score: 8.8)
- UpdraftPlus plugin (CVE-2023-32960 – CVSS score: 7.1)
