Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Login With OTP para WordPress (CVE-2024-11178)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/12/2024
Última modificación:
06/12/2024

Descripción

El complemento Login With OTP para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 1.4.2 incluida. Esto se debe a que el complemento genera una OTP demasiado débil y no hay límite de intentos ni de tiempo. Esto permite que atacantes no autenticados generen y usen la fuerza bruta para generar la OTP numérica de 6 dígitos que permite iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tiene acceso al correo electrónico.