En este artículo, abordaremos una vulnerabilidad de falsificación de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticación de dos factores para WordPress. Esta vulnerabilidad afecta a todas las versiones del plugin hasta la versión 2.5.0. A continuación, explicaremos en detalle el problema y qué soluciones pueden aplicar los usuarios para protegerse.
El plugin WP 2FA – Autenticación de dos factores para WordPress es vulnerable a la falsificación de solicitudes en sitios cruzados (CSRF) en todas las versiones hasta, e incluyendo, la versión 2.5.0. Esto se debe a la falta o validación incorrecta de nonce en la función ‘send_backup_codes_email’. Esto permite que atacantes no autenticados envíen correos electrónicos con contenido arbitrario a usuarios registrados a través de una solicitud falsa, siempre y cuando puedan engañar a un administrador del sitio u otro usuario registrado para que realice una acción como hacer clic en un enlace. Si bien existe una verificación de nonce, solo se ejecuta si se establece un nonce. Al omitir el nonce de la solicitud, se puede evitar esta verificación.
Los usuarios pueden protegerse de esta vulnerabilidad tomando las siguientes medidas:
1. Actualizar a la última versión del plugin – se recomienda que los usuarios actualicen a la última versión del plugin WP 2FA para corregir esta vulnerabilidad y cualquier otra que se haya solucionado.
2. Seguir prácticas de seguridad recomendadas – se recomienda a los usuarios seguir las mejores prácticas de seguridad, como utilizar contraseñas fuertes, habilitar autenticación de dos factores y mantener sus sitios WordPress actualizados.
3. Utilizar un plugin de seguridad – consideren el uso de un plugin de seguridad confiable que pueda ayudar a proteger su sitio WordPress contra ataques de este tipo y otras vulnerabilidades conocidas.
La falsificación de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticación de dos factores para WordPress es una vulnerabilidad seria que puede comprometer la seguridad de los sitios WordPress. Es importante que los usuarios tomen medidas para proteger sus sitios, como actualizar a la última versión del plugin y seguir prácticas de seguridad recomendadas. Además, consideren el uso de un plugin de seguridad confiable para una protección adicional. Mantener la seguridad de su sitio WordPress es fundamental para proteger la información y la reputación de su sitio.