Vulnerabilidad en WP-Mobile-BankID-Integration (CVE-2023-51700)

La integración no oficial de Mobile BankID para WordPress permite a los usuarios emplear Mobile BankID para autenticarse en su sitio de WordPress. Antes de la versión 1.0.1, WP-Mobile-BankID-Integration se ve afectado por una vulnerabilidad clasificada como vulnerabilidad de deserialización de datos no confiables, que afecta específicamente escenarios en los que un atacante puede manipular la base de datos. Si actores no autorizados obtienen acceso a la base de datos, podrían aprovechar esta vulnerabilidad para ejecutar ataques de inyección de objetos. Esto podría dar lugar a la ejecución de código no autorizado, manipulación de datos o filtración de datos dentro del entorno de WordPress. Los usuarios del complemento deben actualizar a la versión 1.0.1 (o posterior), donde la serialización y deserialización de los objetos OrderResponse se cambiaron a una matriz almacenada como JSON. Una posible solución para los usuarios que no pueden actualizar inmediatamente es aplicar controles de acceso más estrictos a la base de datos, garantizando que solo las entidades autorizadas y de confianza puedan modificar los datos. Además, implementar herramientas de monitoreo para detectar actividades inusuales en la base de datos podría ayudar a identificar y mitigar posibles intentos de explotación.