El plugin Limit Login Attempts Plus para WordPress es vulnerable a la suplantación de IP en versiones hasta, e incluyendo, 1.1.0. Esto se debe a restricciones insuficientes en dónde se está recuperando la información de la dirección IP para el registro de solicitudes y restricciones de inicio de sesión.
Los atacantes pueden suministrar el encabezado X-Forwarded-For con una dirección IP diferente que será registrada y se puede usar para eludir ajustes que hayan bloqueado una dirección IP o país para iniciar sesión.
Se recomienda a los usuarios actualizar el plugin Limit Login Attempts Plus a la última versión disponible y asegurarse de que el tráfico de red esté protegido para evitar la manipulación de la dirección IP.