Die Schwachstelle steckt im WordPress-Plugin „Login with Salesforce", das eine Anmeldung an einer WordPress-Website über ein Salesforce-Konto ermöglicht. Der Fehler liegt darin, dass das Plugin nicht prüft, ob ein Benutzer überhaupt berechtigt ist, sich über Salesforce anzumelden. Dadurch kann sich ein Angreifer ohne jede vorherige Authentifizierung als beliebiger Benutzer ausgeben – einschließlich eines Administratorkontos. Es genügt, die zugehörige E-Mail-Adresse des Zielkontos zu kennen; ein Passwort oder ein gültiger Salesforce-Zugang ist nicht erforderlich. Auf diese Weise verschafft sich ein unauthentifizierter Angreifer aus der Ferne vollwertigen Zugriff unter fremder Identität und kann beim Übernehmen eines Administratorkontos die gesamte WordPress-Installation kontrollieren. Betroffen sind WordPress-Websites, auf denen dieses Plugin zur Salesforce-Anmeldung eingesetzt wird.