{"id":829368,"date":"2023-06-29T09:52:38","date_gmt":"2023-06-29T09:52:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/falla-de-seguridad-critica-en-el-complemento-de-inicio-de-sesion-social-para-wordpress-expone-las-cuentas-de-los-usuarios\/"},"modified":"2023-06-29T09:52:42","modified_gmt":"2023-06-29T09:52:42","slug":"falla-de-seguridad-critica-en-el-complemento-de-inicio-de-sesion-social-para-wordpress-expone-las-cuentas-de-los-usuarios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/falla-de-seguridad-critica-en-el-complemento-de-inicio-de-sesion-social-para-wordpress-expone-las-cuentas-de-los-usuarios\/","title":{"rendered":"Falla de seguridad cr\u00edtica en el complemento de inicio de sesi\u00f3n social para WordPress expone las cuentas de los usuarios"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad del sitio web\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Se ha revelado una falla de seguridad cr\u00edtica en miniOrange Complemento de inicio de sesi\u00f3n y registro social<\/a> para WordPress que podr\u00eda permitir que un actor malintencionado inicie sesi\u00f3n, ya que ya se conoce la informaci\u00f3n proporcionada por el usuario sobre la direcci\u00f3n de correo electr\u00f3nico.<\/p>\n

Registrado como CVE-2023-2982 (puntaje CVSS: 9.8), la falla de omisi\u00f3n de autenticaci\u00f3n afecta a todas las versiones del complemento, incluida y anterior a la 7.6.4. Se abord\u00f3 el 14 de junio de 2023 con el lanzamiento de la versi\u00f3n 7.6.5 luego de la divulgaci\u00f3n responsable el 2 de junio de 2023.<\/p>\n

“La vulnerabilidad hace posible que un atacante no autenticado obtenga acceso a cualquier cuenta en un sitio, incluidas las cuentas utilizadas para administrar el sitio, si el atacante conoce o puede encontrar la direcci\u00f3n de correo electr\u00f3nico asociada”, dijo el investigador de Wordfence Istv\u00e1n M\u00e1rton. dicho<\/a>.<\/p>\n

El problema tiene su origen en el hecho de que la clave de cifrado utilizada para proteger la informaci\u00f3n durante el inicio de sesi\u00f3n utilizando cuentas de redes sociales est\u00e1 codificada, lo que lleva a un escenario en el que los atacantes podr\u00edan crear una solicitud v\u00e1lida con una direcci\u00f3n de correo electr\u00f3nico correctamente cifrada utilizada para identificar al usuario. .<\/p>\n

Si la cuenta pertenece al administrador del sitio de WordPress, podr\u00eda resultar en un compromiso total. El complemento se utiliza en m\u00e1s de 30.000 sitios.<\/p>\n

\"La<\/a><\/center><\/div>\n

El aviso sigue al descubrimiento<\/a> de una falla de alta severidad que afecta Complemento LearnDash LMS<\/a>un complemento de WordPress con m\u00e1s de 100.000 instalaciones activas, que podr\u00eda permitir a cualquier usuario con una cuenta existente restablecer contrase\u00f1as de usuarios arbitrarios, incluidos aquellos con acceso de administrador.<\/p>\n

El error (CVE-2023-3105, puntaje CVSS: 8.8) se corrigi\u00f3 en la versi\u00f3n 4.6.0.1 que se envi\u00f3 el 6 de junio de 2023.<\/p>\n

Tambi\u00e9n llega semanas despu\u00e9s de Patchstack. detallado<\/a> una falsificaci\u00f3n de solicitud entre sitios (CSRF<\/a>) vulnerabilidad en el Complemento UpdraftPlus<\/a> (CVE-2023-32960, puntaje CVSS: 7.1) que podr\u00eda permitir que un atacante no autenticado robe datos confidenciales y eleve los privilegios al enga\u00f1ar a un usuario con permisos administrativos para que visite la URL de un sitio de WordPress manipulado.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n