{"id":2549,"date":"2024-01-03T13:44:41","date_gmt":"2024-01-03T13:44:41","guid":{"rendered":"http:\/\/seguridadwordpress.es\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/"},"modified":"2024-01-03T13:44:41","modified_gmt":"2024-01-03T13:44:41","slug":"wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/","title":{"rendered":"WP 2FA <= 2.5.0 – Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario"},"content":{"rendered":"
El plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress es vulnerable a una Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.5.0 a trav\u00e9s del env\u00edo de un correo electr\u00f3nico de copias de seguridad debido a la falta de validaci\u00f3n en una clave controlada por el usuario. Esto hace posible que atacantes con nivel de suscriptor puedan enviar correos electr\u00f3nicos a usuarios arbitrarios en el sitio.<\/div>\n

<\/p>\n

La vulnerabilidad CVE-2023-6506 permite que los atacantes con nivel de suscriptor puedan aprovechar una Referencia de Objeto Directo Inseguro en el plugin WP 2FA. Al utilizar la funci\u00f3n send_backup_codes_email, se env\u00edan correos electr\u00f3nicos de copias de seguridad sin validar adecuadamente la clave proporcionada por el usuario. Esto significa que un atacante con nivel de suscriptor tiene la capacidad de enviar correos electr\u00f3nicos arbitrarios a cualquier usuario del sitio.<\/p>\n

Para subsanar este problema, se recomienda actualizar inmediatamente el plugin WP 2FA a la versi\u00f3n m\u00e1s reciente disponible. Adem\u00e1s, se recomienda implementar medidas adicionales de seguridad, como restringir el env\u00edo de correos electr\u00f3nicos solo a usuarios autorizados y realizar una auditor\u00eda de seguridad exhaustiva en el sitio.<\/p>\n

Es fundamental tener en cuenta que los usuarios finales tambi\u00e9n pueden contribuir a la seguridad de su sitio tomando precauciones, como utilizar contrase\u00f1as fuertes y \u00fanicas, mantener actualizados todos los complementos y temas, as\u00ed como estar atentos a cualquier actividad sospechosa en el sistema.<\/p><\/div>\n

La vulnerabilidad de Referencia de Objeto Directo Inseguro en el plugin WP 2FA hasta la versi\u00f3n 2.5.0 representa un riesgo para la seguridad de los sitios web de WordPress. Es crucial que los administradores de sitios tomen medidas inmediatas para actualizar el plugin a la \u00faltima versi\u00f3n disponible y consideren implementar medidas adicionales de seguridad. Adem\u00e1s, es importante que los usuarios finales tambi\u00e9n sean conscientes de las mejores pr\u00e1cticas de seguridad y tomen medidas para proteger sus propias cuentas.<\/div>\n","protected":false},"excerpt":{"rendered":"

El plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress es vulnerable a una Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.5.0 a trav\u00e9s del env\u00edo de un correo electr\u00f3nico de copias de seguridad debido a la falta de validaci\u00f3n en una clave controlada por el usuario. Esto […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[303],"class_list":["post-2549","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-6506"],"yoast_head":"\nWP 2FA <= 2.5.0 - Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"WP 2FA <= 2.5.0 - Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress es vulnerable a una Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.5.0 a trav\u00e9s del env\u00edo de un correo electr\u00f3nico de copias de seguridad debido a la falta de validaci\u00f3n en una clave controlada por el usuario. Esto […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-03T13:44:41+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/\",\"url\":\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/\",\"name\":\"WP 2FA <= 2.5.0 - Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-03T13:44:41+00:00\",\"dateModified\":\"2024-01-03T13:44:41+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"WP 2FA <= 2.5.0 – Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"WP 2FA <= 2.5.0 - Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/","og_locale":"en_US","og_type":"article","og_title":"WP 2FA <= 2.5.0 - Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario - SeguridadWordPress.es","og_description":"El plugin WP 2FA – Autenticaci\u00f3n de dos factores para WordPress es vulnerable a una Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.5.0 a trav\u00e9s del env\u00edo de un correo electr\u00f3nico de copias de seguridad debido a la falta de validaci\u00f3n en una clave controlada por el usuario. Esto […]","og_url":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-03T13:44:41+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/","url":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/","name":"WP 2FA <= 2.5.0 - Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-03T13:44:41+00:00","dateModified":"2024-01-03T13:44:41+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/wp-2fa-2-5-0-referencia-de-objeto-directo-inseguro-para-envio-de-correo-electronico-arbitrario\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"WP 2FA <= 2.5.0 – Referencia de Objeto Directo Inseguro para Env\u00edo de Correo Electr\u00f3nico Arbitrario"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2549"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2549"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2549\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2549"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}