Vulnerabilidad en Login With OTP para WordPress (CVE-2024-11178)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/12/2024
Última modificación:
06/12/2024
Descripción
El complemento Login With OTP para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 1.4.2 incluida. Esto se debe a que el complemento genera una OTP demasiado débil y no hay límite de intentos ni de tiempo. Esto permite que atacantes no autenticados generen y usen la fuerza bruta para generar la OTP numérica de 6 dígitos que permite iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tiene acceso al correo electrónico.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA