一个关键的安全漏洞已被披露在miniOrange的社会登录和注册WordPress的插件,可能使恶意的演员登录,因为任何用户提供的关于电子邮件地址的信息是已知的。
追踪到CVE-2023-2982(CVSS得分:9.8),身份验证绕过漏洞影响所有版本的插件,包括7.6.4及之前版本。这个问题在2023年6月14日得到解决,并在2023年6月2日发布了7.6.5版本。
Word fence研究员Istvan Marton说:”该漏洞使未经身份验证的攻击者有可能访问网站上的任何帐户,包括用于管理网站的帐户,如果攻击者知道或可以找到相关的电子邮件地址。”
这个问题的根源在于,使用社交媒体帐户登录过程中用于保护信息的加密密钥是硬编码的,从而导致攻击者可以使用用于识别用户的正确加密的电子邮件地址创建有效请求的情况。
如果帐户属于WordPress站点管理员,它可能会导致完全的妥协。插件在3万多个网站上使用。
在此之前,人们发现了一个影响Learndash lms插件的高度严重缺陷,这是一个具有100,000多个活动安装的WordPress插件,它允许任何拥有现有帐户的用户重置任意用户密码,包括那些具有管理员权限的密码。
这个bug(CVE-2023-3105,CVSS评分:8.8)已经在2023年6月6日发布的4.6.0.1版本中进行了修补。
几周前,Patch堆栈详细描述了UpdraftPlus插件(CVE-2023-32960,CVSS评分:7.1)中的跨站点请求伪造(Csrf)漏洞,该漏洞可能允许未经身份验证的攻击者窃取敏感数据,并通过欺骗具有访问精心编制的WordPress站点URL的管理权限的用户来提升权限。