Saltar al contenido

Fuente base de datos: Wordfence Intelligence

miniOrange OTP Login, Verification and SMS Notifications <= 5.5.1 - Authentication Bypass to Administrator Account Takeover via 'username_b' Parameter en Miniorange OTP Verification (bypass de autenticacion) - version 5.5.2

PLUGIN CRITICAL CVE-2026-14245

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La extensión miniOrange OTP Login, hasta la versión 5.5.1, presenta una vulnerabilidad crítica que permite el bypass de autenticación a cuentas de administrador. Esto podría resultar en la toma de control total del sitio web, comprometiendo así su seguridad operativa.

Contexto técnico

El fallo se origina en el parámetro 'username_b', que permite a un atacante eludir el proceso de autenticación. La superficie de ataque se centra en la interacción con el plugin, lo que facilita el acceso no autorizado a áreas restringidas del sitio.

Impacto potencial

El impacto de esta vulnerabilidad es severo, ya que permite a un atacante obtener acceso completo a la cuenta de administrador, lo que podría resultar en la manipulación de datos, instalación de malware y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas que incluyen el parámetro 'username_b', lo que les permite eludir la autenticación y acceder a la administración del sitio.

Mitigación recomendada

Actualizar el plugin miniOrange OTP Login a la versión 5.5.2 o superior. Revisar y auditar los registros de acceso para detectar actividades sospechosas. Implementar medidas de seguridad adicionales, como autenticación de dos factores y limitación de intentos de inicio de sesión.

Señales de detección

Monitorizar registros de acceso en busca de intentos de inicio de sesión fallidos o accesos no autorizados a la administración del sitio.

Alcance afectado

Las versiones del plugin miniOrange OTP Login hasta la 5.5.1 están afectadas. No se han confirmado casos en versiones posteriores a la 5.5.2.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

token-of-trust

Age Verification & Identity Verification by Token of Trust <= 4.0.2 - Missing Authorization to Unauthenticated Information Exposure via 'tot_export_table' Parameter

MEDIUM PLUGIN

wp-user-frontend

User Frontend <= 4.3.7 - Missing Authorization to Unauthenticated Arbitrary Attachment Deletion via 'attach_id' Parameter

MEDIUM PLUGIN

gamipress

GamiPress <= 7.9.4 - Insecure Direct Object Reference to Unauthenticated Sensitive Information Disclosure via 'access' Parameter

MEDIUM PLUGIN

wp-user-frontend

User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration <= 4.3.7 - Insecure Direct Object Reference to Unauthenticated Arbitrary Post Modification via 'wpuf_files_data' Parameter

MEDIUM PLUGIN

easy-invoice

Easy Invoice <= 2.1.19 - Unauthenticated Arbitrary Quote Accept/Decline and Invoice Creation via easy_invoice_accept_quote / easy_invoice_decline_quote AJAX Actions

HIGH PLUGIN

jssor-slider

Jssor Slider by jssor.com <= 3.1.24 - Unauthenticated Arbitrary File Read via 'url' Parameter

CRITICAL PLUGIN

simple-coherent-form

Simple Coherent Form <= 2.4.13 - Unauthenticated Arbitrary File Deletion via 'id' Parameter

MEDIUM PLUGIN

user-management

User Management <= 1.2 - Missing Authorization to Unauthenticated Plugin Settings Modification

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad