Plataforma
wordpress
Componente
sign-in-with-google
Corregido en
1.8.1
La vulnerabilidad CVE-2024-11015 afecta al plugin Sign In With Google para WordPress, permitiendo un bypass de autenticación. Esta falla se debe a la falta de validación de valores nulos en la función 'authenticate_user', lo que facilita el inicio de sesión no autorizado. Las versiones afectadas son aquellas iguales o inferiores a 1.8.0. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación temporales.
Un atacante puede explotar esta vulnerabilidad para obtener acceso no autorizado a la cuenta de WordPress, potencialmente la cuenta de administrador. Esto podría permitir al atacante modificar el contenido del sitio, instalar malware, robar información confidencial de los usuarios o incluso tomar el control completo del sitio web. El impacto es particularmente grave si el sitio web almacena información sensible de los usuarios o se utiliza para transacciones financieras. La facilidad de explotación, combinada con la alta severidad, convierte a esta vulnerabilidad en un riesgo significativo para los sitios web que utilizan el plugin Sign In With Google.
Esta vulnerabilidad ha sido publicada públicamente el 12 de diciembre de 2024. No se ha confirmado la explotación activa en la naturaleza, pero la alta severidad y la facilidad de explotación sugieren que podría ser objeto de ataques. Es importante monitorear los sistemas en busca de actividad sospechosa. La vulnerabilidad no se encuentra en el KEV catalogado por CISA al momento de esta redacción.
WordPress sites utilizing the Sign In With Google plugin, particularly those running versions prior to 1.8.0, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise on one site could potentially impact others. Sites relying on Google OAuth for user authentication are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep "Sign In With Google"• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep "Sign In With Google"• wordpress / composer / npm:
wp plugin describe signinwithgoogledisclosure
Estado del Exploit
EPSS
0.14% (35% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Sign In With Google a la última versión disponible, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Esto podría incluir restringir el acceso a la función de autenticación de Google OAuth, implementar una autenticación de dos factores (2FA) para todos los usuarios, o revisar y fortalecer las políticas de contraseñas. Después de la actualización, verifique que la autenticación de Google OAuth funcione correctamente y que no haya cambios inesperados en el comportamiento del sitio web.
Actualice el plugin Sign In With Google a la versión más reciente. La versión 1.8.1 o superior corrige esta vulnerabilidad de omisión de autenticación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11015 is a critical vulnerability in the Sign In With Google WordPress plugin allowing attackers to bypass authentication and log in as existing Google OAuth users.
You are affected if you are using the Sign In With Google plugin in WordPress versions 1.8.0 or earlier. Immediately check your plugin version and update if necessary.
The fix is to update the Sign In With Google plugin to a version greater than 1.8.0. If an upgrade is not immediately possible, temporarily disable the plugin.
While no confirmed active exploitation campaigns are currently known, the vulnerability's severity and ease of exploitation make it a likely target. Monitor your site closely.
Refer to the plugin developer's website and WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.