Vulnerabilidad en Miniorange OTP Verification con Firebase para WordPress (CVE-2024-9861)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/10/2024
Última modificación:
28/01/2025
Descripción
El complemento Miniorange OTP Verification con Firebase para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 3.6.0 incluida. Esto se debe a la falta de validación en el token que se proporciona durante el inicio de sesión con OTP a través del complemento. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si conocen el número de teléfono asociado con ese usuario.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:miniorange:otp_verification_with_firebase:*:*:*:*:*:wordpress:*:* | 3.6.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/miniorange-firebase-sms-otp-verification/tags/3.6.0/handler/forms/class-loginform.php#L144
- https://plugins.trac.wordpress.org/browser/miniorange-firebase-sms-otp-verification/tags/3.6.0/handler/forms/class-loginform.php#L190
- https://plugins.trac.wordpress.org/changeset/3169869/miniorange-firebase-sms-otp-verification#file3
- https://www.wordfence.com/threat-intel/vulnerabilities/id/04045ec3-dd8e-4ac5-bd73-eef6205ecc62?source=cve