CVE-2023-1092

MITJÀ: (5,4)

CVSS3: 4,7

El plugin OAuth Single Sign On per WordPress és vulnerable a la falsificació de peticions en llocs creuats. Aquesta estaria causada per la validació incorrecta de l’entrada subministrada per l’usuari. Persuadint a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP malformada per eliminar tots els IdP. L’atacant podria aprofitar aquesta vulnerabilitat per perpetrar atacs de seqüència d’ordres en llocs creuats, enverinament de la memòria cau web així com altres activitats malicioses.

Sistemes Afectats

• WordPress OAuth Single Sign On plugin for WordPress 6.24.1

Remediació
Actualitzeu a l’última versió del plugin OAuth Single Sign On per WordPress (6.24.2 o posterior), disponible al directori de plugins de WordPress. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://wpscan.com/vulnerability/52e29f16-b6dd-4132-9bb8-ad10bd3c39d7
• https://wordpress.org/plugins/miniorange-login-with-eve-online-google-facebook/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1092