Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se han identificado múltiples vulnerabilidades críticas en el complemento Miniorange OTP Verification with Firebase para WordPress, afectando a todas las versiones menores a la 3.6.0. Este complemento permite a los usuarios iniciar sesión o registrarse utilizando un código OTP enviado a través de Firebase, lo que garantiza la autenticación sin contraseña y la verificación de números de teléfono. Sin embargo, las vulnerabilidades, registradas como CVE-2024-9861, CVE-2024-9862, y CVE-2024-9863, permiten a los atacantes no autenticados cambiar contraseñas de usuarios, omitir procesos de autenticación y obtener acceso administrativo.
- CVE-2024-9862: Cambio de contraseña no autenticado, lo que permite a los atacantes secuestrar cuentas de usuario, incluidos administradores.
- CVE-2024-9863: Escalada de privilegios mediante un valor predeterminado inseguro que asigna rol de administrador a nuevos usuarios registrados.
- CVE-2024-9861: Omisión de autenticación, permitiendo a los atacantes iniciar sesión como usuarios legítimos sin autenticación válida, si conocen el número de teléfono asociado.
Recursos afectados
Las versiones vulnerables de Miniorange OTP Verification with Firebase son todas las versiones anteriores a la 3.6.0.
- Version < 3.6.0
Solución
Se recomienda actualizar inmediatamente a la versión parcheada de Miniorange OTP Verification with Firebase para corregir estas vulnerabilidades:
- Versión >= 3.6.0
Si no es posible aplicar la actualización de inmediato, como medida temporal se recomienda deshabilitar la autenticación OTP o limitar las funciones relacionadas con OTP.
Recomendaciones
- Actualizar el complemento correspondiente a la versión 3.6.0 o superior para eliminar estas vulnerabilidades.
- Activar Actualizaciones automaticas de Wordpress
- Implementar autenticación multifactor (MFA) en las cuentas administrativas para mitigar riesgos.
- Deshabilitar OTP temporalmente si no es posible actualizar de inmediato.