Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin 'Login with Phone Number' en versiones hasta la 1.6.93. Esta falla permite a un atacante eludir controles de acceso y potencialmente acceder a información sensible.
Fuente base de datos: Wordfence Intelligence
Login with phone number <= 1.6.93 - Missing Authorization
PLUGIN
MEDIUM
CVE-2024-32832
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la falta de verificación adecuada de las autorizaciones de usuario, lo que permite a usuarios no autorizados realizar acciones restringidas. La superficie de ataque se centra en las funcionalidades del plugin que gestionan el inicio de sesión mediante número de teléfono.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que podría permitir a un atacante acceder a cuentas de usuario sin las credenciales adecuadas, comprometiendo así la seguridad de los datos y la integridad de la plataforma.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas que eluden la verificación de autorización, facilitando el acceso no autorizado a las cuentas de usuario.
Mitigación recomendada
Se recomienda actualizar el plugin a la versión 1.6.94 o superior, donde se ha corregido la vulnerabilidad. Además, se sugiere revisar los registros de acceso y aplicar prácticas de seguridad adicionales, como la autenticación de dos factores.
Señales de detección
Señales de posible explotación incluyen intentos inusuales de acceso a cuentas de usuario y registros de actividad que muestren accesos no autorizados o cambios en la configuración del plugin.
Alcance afectado
Las versiones del plugin 'Login with Phone Number' hasta la 1.6.93 están afectadas. Se recomienda a los administradores de WordPress que verifiquen si están utilizando esta versión y tomen medidas inmediatas.
Vulnerabilidades relacionadas
HIGH
PLUGIN
login-with-phone-number
WooCommerce OTP Login With Phone Number, OTP Verification <= 1.8.47 - Authentication Bypass
HIGH
PLUGIN
login-with-phone-number
Login with phone number <= 1.7.49 - Authenticated (Subscriber+) Authorization Bypass to Privilege Escalation
MEDIUM
PLUGIN
login-with-phone-number
Login with phone number <= 1.7.35 - Authenticated (Administrator+) Stored Cross-Site Scripting
HIGH
PLUGIN
login-with-phone-number
Login with phone number <= 1.7.34 - Insecure Password Reset Mechanism
CRITICAL
PLUGIN
login-with-phone-number
Login with phone number <= 1.7.26 - Authentication Bypass due to Missing Empty Value Check
MEDIUM
PLUGIN
login-with-phone-number
Login with phone number <= 1.7.18 - Missing Authorization
HIGH
PLUGIN
login-with-phone-number
Login with phone number <= 1.7.16 - Unauthorized Account Password Change to Privilege Escalation
MEDIUM
PLUGIN
login-with-phone-number
Login with phone number <= 1.6.93 - Cross-Site Request Forgery
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto