El plugin WP 2FA – Autenticación de dos factores para WordPress es vulnerable a una Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.5.0 a través del envío de un correo electrónico de copias de seguridad debido a la falta de validación en una clave controlada por el usuario. Esto hace posible que atacantes con nivel de suscriptor puedan enviar correos electrónicos a usuarios arbitrarios en el sitio.
La vulnerabilidad CVE-2023-6506 permite que los atacantes con nivel de suscriptor puedan aprovechar una Referencia de Objeto Directo Inseguro en el plugin WP 2FA. Al utilizar la función send_backup_codes_email, se envían correos electrónicos de copias de seguridad sin validar adecuadamente la clave proporcionada por el usuario. Esto significa que un atacante con nivel de suscriptor tiene la capacidad de enviar correos electrónicos arbitrarios a cualquier usuario del sitio.
Para subsanar este problema, se recomienda actualizar inmediatamente el plugin WP 2FA a la versión más reciente disponible. Además, se recomienda implementar medidas adicionales de seguridad, como restringir el envío de correos electrónicos solo a usuarios autorizados y realizar una auditoría de seguridad exhaustiva en el sitio.
Es fundamental tener en cuenta que los usuarios finales también pueden contribuir a la seguridad de su sitio tomando precauciones, como utilizar contraseñas fuertes y únicas, mantener actualizados todos los complementos y temas, así como estar atentos a cualquier actividad sospechosa en el sistema.
La vulnerabilidad de Referencia de Objeto Directo Inseguro en el plugin WP 2FA hasta la versión 2.5.0 representa un riesgo para la seguridad de los sitios web de WordPress. Es crucial que los administradores de sitios tomen medidas inmediatas para actualizar el plugin a la última versión disponible y consideren implementar medidas adicionales de seguridad. Además, es importante que los usuarios finales también sean conscientes de las mejores prácticas de seguridad y tomen medidas para proteger sus propias cuentas.