PT-2025-10406 · WordPress · Miniorange Social Login/Register Pro Addon
Wesley
·
Publicado
2025-03-08
·
Atualizado
2025-03-13
·
CVE-2024-11087
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon para WordPress versões até a 200.3.9 inclusive
Descrição
A vulnerabilidade está relacionada à verificação insuficiente do usuário retornado pelo token de login social, permitindo que atacantes não autenticados façam login como qualquer usuário existente no site, como um administrador, caso tenham acesso ao nome de usuário e o usuário não possua uma conta pré-existente para o serviço que retorna o token.
Recomendações
Para versões até a 200.3.9 inclusive, atualize para uma versão que inclua a verificação adequada do usuário retornado pelo token de login social para prevenir bypass de autenticação.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Miniorange Social Login/Register Pro Addon