El plugin WatchTowerHQ para WordPress es vulnerable a un bypass de autenticación en las versiones hasta, e incluyendo, la 3.9.6. Esto se debe a que el valor predeterminado ‘watchtower_ota_token’ está vacío y la comprobación de no vacío falta en la función ‘Password_Less_Access::login’. Esto permite que atacantes no autenticados inicien sesión en el usuario administrador del cliente WatchTowerHQ.
La vulnerabilidad CVE-2024-9933 en el plugin WatchTowerHQ puede ser aprovechada por atacantes malintencionados para obtener acceso no autorizado como administrador. Para mitigar este riesgo, se recomienda actualizar el plugin WatchTowerHQ a la última versión disponible. Además, se puede implementar un sistema de autenticación de dos factores para agregar una capa adicional de seguridad a las cuentas de administrador.
Es fundamental mantener actualizados los plugins de WordPress y seguir las mejores prácticas de seguridad para evitar posibles vulnerabilidades de bypass de autenticación. La seguridad cibernética es una responsabilidad compartida entre los desarrolladores y los usuarios finales.