El complemento Profile Builder Pro para WordPress es vulnerable a la divulgación de información sensible en todas las versiones hasta, e incluyendo, la 3.10.0. Esto permite a los atacantes autenticados, con acceso de nivel suscriptor y superior, extraer una contraseña de un solo uso (TOTP) sensible basada en el tiempo.
La vulnerabilidad se debe a una falta de restricciones adecuadas en la visualización de contraseñas TOTP por parte de usuarios con nivel de acceso de suscriptor o superior. Los atacantes autenticados pueden aprovechar esta vulnerabilidad para obtener contraseñas TOTP sensibles, lo que podría permitirles acceder a cuentas comprometidas.
Para subsanar este problema, se recomienda a los usuarios actualizar el complemento Profile Builder Pro a la última versión disponible, que soluciona esta vulnerabilidad. Además, es importante garantizar que todos los complementos y temas utilizados en WordPress estén actualizados regularmente para evitar posibles vulnerabilidades de seguridad.
Además, se recomienda a los administradores de WordPress que revisen y monitoreen regularmente los registros de actividad del sitio en busca de actividades sospechosas o intentos de acceso no autorizados.
La divulgación de información sensible de las contraseñas TOTP es un problema grave que puede comprometer la seguridad de las cuentas de los usuarios. Al mantener todos los complementos y temas actualizados, así como monitorear regularmente la actividad del sitio, los usuarios pueden reducir el riesgo de sufrir ataques y proteger sus cuentas de WordPress.