Login with phone number <= 1.6.93 - Cross-Site Request Forgery

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin 'Login with Phone Number' en versiones hasta la 1.6.93. Esta vulnerabilidad puede permitir a un atacante realizar acciones no autorizadas en nombre de un usuario.

Contexto técnico

El fallo se origina en la falta de validación adecuada de las solicitudes, lo que permite que un atacante envíe solicitudes maliciosas desde un sitio externo. Esto afecta principalmente a la funcionalidad que gestiona el inicio de sesión mediante número de teléfono.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante realice acciones en la cuenta de un usuario sin su consentimiento, lo que podría comprometer la seguridad de los datos y la integridad de la cuenta, afectando la confianza del usuario y la reputación del negocio.

Vector de explotación

La explotación generalmente se lleva a cabo mediante el envío de un enlace malicioso a un usuario, que al hacer clic, ejecuta acciones en su cuenta sin su conocimiento.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 1.6.94 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere implementar medidas de seguridad adicionales, como la verificación de tokens CSRF en formularios sensibles.

Señales de detección

Señales de riesgo incluyen solicitudes inusuales en los registros de acceso, cambios inesperados en la configuración de cuentas de usuario y actividad sospechosa en el uso del plugin.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin 'Login with Phone Number' hasta la 1.6.93. Las instalaciones que utilicen esta versión están en riesgo.