La vulnerabilidad de autenticación en el plugin Miniorange OTP Verification with Firebase para WordPress en versiones hasta, e incluyendo, 3.6.0 permite a atacantes eludir la autenticación y acceder a cuentas de usuario sin permiso.
La vulnerabilidad radica en la falta de validación en el token suministrado durante la autenticación OTP a través del plugin. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si conocen el número de teléfono asociado con ese usuario. Para mitigar esta vulnerabilidad, se recomienda desactivar temporalmente el plugin hasta que se lance una actualización que corrija el problema. Además, se debe mantener el plugin actualizado y estar atento a las versiones parcheadas.
Es vital que los administradores de sitios WordPress tomen medidas inmediatas para proteger sus sitios de esta vulnerabilidad crítica. La implementación de las soluciones mencionadas puede ayudar a prevenir posibles ataques de autenticación bypass en el plugin Miniorange OTP Verification with Firebase.