Krytyczna luka w wtyczce OTP Login With Phone Number dla WordPress umożliwia obejście uwierzytelniania
Krytyczna luka w wtyczce OTP Login With Phone Number dla WordPress umożliwia obejście uwierzytelniania i przejęcie konta. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 38.66%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka OTP Login With Phone Number, OTP Verification dla WordPress w wersjach 1.8.50 do 1.8.60 posiada krytyczną lukę pozwalającą na obejście uwierzytelniania. Luka wynika z braku powiązania sesji Firebase z numerem telefonu podanym w żądaniu, co umożliwia atakującemu uwierzytelnienie się jako dowolny użytkownik.
Wpływ biznesowy
Atakujący mogą uzyskać nieautoryzowany dostęp do kont użytkowników, w tym administratorów, co stwarza poważne ryzyko dla bezpieczeństwa witryny i danych. Może to prowadzić do przejęcia kontroli nad stroną, modyfikacji treści lub kradzieży informacji. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki u dostawcy oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję wtyczki, monitorować logi pod kątem podejrzanych prób logowania oraz weryfikować uprawnienia użytkowników. Priorytetowo należy przeprowadzić audyt bezpieczeństwa i rozważyć dodatkowe mechanizmy uwierzytelniania.