El plugin WP 2FA with Telegram para WordPress es vulnerable a un Bypass de Autenticación en versiones hasta, e incluyendo, la 3.0. Esto se debe a una validación insuficiente de la clave controlada por el usuario en la acción ‘validate_tg’. Esto permite a atacantes autenticados, con permisos de nivel suscriptor y superiores, iniciar sesión como cualquier usuario existente en el sitio, como un administrador.
La vulnerabilidad identificada con el ID CVE-2024-9687 en el plugin WP 2FA with Telegram permite a los atacantes autenticados evadir la autenticación y acceder como usuarios privilegiados en el sitio WordPress. Para mitigar este riesgo, es importante actualizar el plugin a la última versión disponible. Además, se recomienda mantener una política de seguridad estricta en cuanto a las credenciales de los usuarios y limitar los permisos solo a aquellos que sean estrictamente necesarios.
Es fundamental mantener actualizados los plugins y temas en WordPress para evitar posibles vulnerabilidades de seguridad como el Bypass de Autenticación en WP 2FA with Telegram <= 3.0. La seguridad en el entorno WordPress es responsabilidad de todos los usuarios, quienes deben implementar medidas proactivas para proteger sus sitios web.