El plugin Login With OTP para WordPress es vulnerable a un bypass de autenticación en versiones hasta, e incluyendo, la 1.4.2. Esto se debe a que el plugin genera un OTP demasiado débil y no hay intento o límite de tiempo. Esto permite que atacantes no autenticados generen y realicen fuerza bruta sobre el OTP numérico de 6 dígitos, lo que les permite iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Login With OTP a la última versión disponible, en la cual se hayan corregido las debilidades en la generación del OTP. Además, se recomienda implementar medidas adicionales de seguridad, como limitar el número de intentos de inicio de sesión, utilizar contraseñas seguras y habilitar la autenticación de dos factores para reforzar la seguridad en el acceso al sitio.
Es crucial que los usuarios de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios web. La actualización constante y la implementación de buenas prácticas de seguridad son fundamentales para prevenir posibles ataques de autenticación bypass como el descrito en esta vulnerabilidad CVE-2024-11178.