Login with phone number <= 1.5.6 - Cross-Site Request Forgery to User Password Change

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Login with Phone Number' en versiones hasta la 1.5.6, que permite un ataque de Cross-Site Request Forgery (CSRF) para cambiar la contraseña del usuario. Esta vulnerabilidad tiene un CVSS de 8.8, lo que indica su alta gravedad.

Contexto técnico

El fallo se produce debido a la falta de verificación adecuada en las solicitudes que permiten cambiar la contraseña del usuario. Esto abre la puerta a que un atacante pueda enviar peticiones maliciosas en nombre del usuario sin su consentimiento, aprovechando la confianza que el sistema tiene en el navegador del usuario.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante tomar control de cuentas de usuario, lo que podría resultar en la pérdida de datos sensibles y comprometer la integridad de la plataforma. Esto podría tener repercusiones graves en la reputación de la empresa y en la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando un enlace malicioso a un usuario legítimo, induciéndolo a hacer clic y, de este modo, ejecutar la acción de cambio de contraseña sin su conocimiento.

Mitigación recomendada

Actualizar el plugin 'Login with Phone Number' a la versión 1.5.7 o superior. Además, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas y la educación de los usuarios sobre los riesgos de hacer clic en enlaces desconocidos.

Señales de detección

Señales de riesgo incluyen cambios inesperados en las contraseñas de los usuarios, actividad inusual en las cuentas y registros de acceso desde ubicaciones no reconocidas.

Alcance afectado

Todas las instalaciones del plugin 'Login with Phone Number' en versiones hasta la 1.5.6 son vulnerables. La versión 1.5.7 y posteriores han corregido este fallo.