{"id":2544,"date":"2024-01-03T13:42:39","date_gmt":"2024-01-03T13:42:39","guid":{"rendered":"http:\/\/seguridadwordpress.es\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/"},"modified":"2024-01-03T13:42:39","modified_gmt":"2024-01-03T13:42:39","slug":"wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/","title":{"rendered":"WP 2FA – Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 – Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF)"},"content":{"rendered":"
En este art\u00edculo, abordaremos una vulnerabilidad de falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress. Esta vulnerabilidad afecta a todas las versiones del plugin hasta la versi\u00f3n 2.5.0. A continuaci\u00f3n, explicaremos en detalle el problema y qu\u00e9 soluciones pueden aplicar los usuarios para protegerse.<\/div>\n

<\/p>\n

El plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress es vulnerable a la falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) en todas las versiones hasta, e incluyendo, la versi\u00f3n 2.5.0. Esto se debe a la falta o validaci\u00f3n incorrecta de nonce en la funci\u00f3n ‘send_backup_codes_email’. Esto permite que atacantes no autenticados env\u00eden correos electr\u00f3nicos con contenido arbitrario a usuarios registrados a trav\u00e9s de una solicitud falsa, siempre y cuando puedan enga\u00f1ar a un administrador del sitio u otro usuario registrado para que realice una acci\u00f3n como hacer clic en un enlace. Si bien existe una verificaci\u00f3n de nonce, solo se ejecuta si se establece un nonce. Al omitir el nonce de la solicitud, se puede evitar esta verificaci\u00f3n.<\/p>\n

Los usuarios pueden protegerse de esta vulnerabilidad tomando las siguientes medidas:<\/p>\n

1. Actualizar a la \u00faltima versi\u00f3n del plugin – se recomienda que los usuarios actualicen a la \u00faltima versi\u00f3n del plugin WP 2FA para corregir esta vulnerabilidad y cualquier otra que se haya solucionado.
\n2. Seguir pr\u00e1cticas de seguridad recomendadas – se recomienda a los usuarios seguir las mejores pr\u00e1cticas de seguridad, como utilizar contrase\u00f1as fuertes, habilitar autenticaci\u00f3n de dos factores y mantener sus sitios WordPress actualizados.
\n3. Utilizar un plugin de seguridad – consideren el uso de un plugin de seguridad confiable que pueda ayudar a proteger su sitio WordPress contra ataques de este tipo y otras vulnerabilidades conocidas.<\/p><\/div>\n

La falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress es una vulnerabilidad seria que puede comprometer la seguridad de los sitios WordPress. Es importante que los usuarios tomen medidas para proteger sus sitios, como actualizar a la \u00faltima versi\u00f3n del plugin y seguir pr\u00e1cticas de seguridad recomendadas. Adem\u00e1s, consideren el uso de un plugin de seguridad confiable para una protecci\u00f3n adicional. Mantener la seguridad de su sitio WordPress es fundamental para proteger la informaci\u00f3n y la reputaci\u00f3n de su sitio.<\/div>\n","protected":false},"excerpt":{"rendered":"

En este art\u00edculo, abordaremos una vulnerabilidad de falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress. Esta vulnerabilidad afecta a todas las versiones del plugin hasta la versi\u00f3n 2.5.0. A continuaci\u00f3n, explicaremos en detalle el problema y qu\u00e9 soluciones pueden aplicar los usuarios para protegerse. […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[298],"class_list":["post-2544","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-6520"],"yoast_head":"\nWP 2FA - Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 - Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"WP 2FA - Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 - Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"En este art\u00edculo, abordaremos una vulnerabilidad de falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress. Esta vulnerabilidad afecta a todas las versiones del plugin hasta la versi\u00f3n 2.5.0. A continuaci\u00f3n, explicaremos en detalle el problema y qu\u00e9 soluciones pueden aplicar los usuarios para protegerse. […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-03T13:42:39+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/\",\"url\":\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/\",\"name\":\"WP 2FA - Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 - Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-03T13:42:39+00:00\",\"dateModified\":\"2024-01-03T13:42:39+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"WP 2FA – Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 – Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF)\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"WP 2FA - Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 - Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/","og_locale":"en_US","og_type":"article","og_title":"WP 2FA - Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 - Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) - SeguridadWordPress.es","og_description":"En este art\u00edculo, abordaremos una vulnerabilidad de falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) en el plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress. Esta vulnerabilidad afecta a todas las versiones del plugin hasta la versi\u00f3n 2.5.0. A continuaci\u00f3n, explicaremos en detalle el problema y qu\u00e9 soluciones pueden aplicar los usuarios para protegerse. […]","og_url":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-03T13:42:39+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/","url":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/","name":"WP 2FA - Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 - Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF) - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-03T13:42:39+00:00","dateModified":"2024-01-03T13:42:39+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/wp-2fa-autenticacion-de-dos-factores-para-wordpress-2-5-0-falsificacion-de-solicitudes-en-sitios-cruzados-csrf\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"WP 2FA – Autenticaci\u00f3n de dos factores para WordPress <= 2.5.0 – Falsificaci\u00f3n de solicitudes en sitios cruzados (CSRF)"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2544"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2544"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2544\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2544"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2544"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2544"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}