CVE-2024-11015

The Sign In With Google plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.8.0. This is due to the 'authenticate_user' user function not implementing sufficient null value checks when setting the access token and user information. This makes it possible for unauthenticated attackers to log in as the first user who has signed in using Google OAuth, which could be the site administrator.
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) El complemento Sign In With Google para WordPress es vulnerable a la omisión de la autenticación en todas las versiones hasta la 1.8.0 incluida . Esto se debe a que la función de usuario 'authenticate_user' no implementa suficientes comprobaciones de valores nulos al configurar el token de acceso y la información del usuario. Esto hace posible que atacantes no autenticados inicien sesión como el primer usuario que haya iniciado sesión con Google OAuth, que podría ser el administrador del sitio.

12 Dec 2024, 04:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-12-12 04:15

Updated : 2026-06-17 06:56


NVD link : CVE-2024-11015

Mitre link : CVE-2024-11015

CVE.ORG link : CVE-2024-11015


JSON object : View

Products Affected

No product.

CWE
CWE-287

Improper Authentication