O plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon, utilizado em sites WordPress para permitir logins sociais, apresenta uma vulnerabilidade crítica de bypass de autenticação. Essa falha foi identificada em todas as versões do plugin até a 200.3.9, incluindo esta. A vulnerabilidade, catalogada como CVE-2024-11087, possui uma pontuação CVSS de 8.1 (Alta), indicando um risco significativo para os sites afetados.
Descrição da Vulnerabilidade
A vulnerabilidade ocorre devido à verificação insuficiente do usuário retornado pelo token de login social. Isso permite que atacantes não autenticados façam login como qualquer usuário existente no site, incluindo administradores, desde que tenham acesso ao nome de usuário e o usuário não possua uma conta pré-existente no serviço que retorna o token.
Impacto
- Confidencialidade: Dados sensíveis podem ser acessados por atacantes.
- Integridade: Atacantes podem modificar configurações ou conteúdos do site.
- Disponibilidade: O site pode ser comprometido, resultando em perda de controle ou indisponibilidade.
Versões Afetadas
- Todas as versões até 200.3.9.
Status de Correção
- Não há patch disponível até o momento. Recomenda-se a remoção do plugin e a busca por uma alternativa segura.
Recomendações
- Remova o Plugin: Devido à ausência de correção, é altamente recomendável desinstalar o plugin miniOrange Social Login and Register.
- Monitore Atividades: Fique atento a logins suspeitos ou atividades incomuns no site.
- Adote Alternativas Seguras: Considere utilizar outros plugins de login social que sejam atualizados regularmente e tenham um histórico de segurança confiável.
Referências
Conclusão
Essa vulnerabilidade de bypass de autenticação representa um risco crítico para sites que utilizam o plugin miniOrange Social Login and Register. A ausência de uma correção torna essencial a remoção imediata do plugin e a adoção de medidas de segurança adicionais. Mantenha-se informado sobre atualizações e sempre priorize a segurança do seu site.
