Bienvenue sur la nouvelle version de notre site internet.

login-with-phone-wordpress-alert-3624
CYBER ALERTESNon classé

Contournement d’authentification dans le plugin Login with Phone Number de WordPress

Photo de ACM_Admin ACM_Admin Envoyer un courriel 3 juin 2024
0 Moins d'une minute

Le plugin « Login with Phone Number » de WordPress permet de s’enregistrer et de se connecter sur un site WordPress grâce à un numéro de téléphone. Le client s’authentifie en utilisant un OTP reçu sur son numéro de téléphone. 



Ce plugin est affecté par une vulnérabilité libellée CVE-2024-5150. Son exploitation permettrait à un acteur malveillant non authentifié de se connecter à n’importe quel compte utilisateur existant, y compris les comptes administrateurs, en ayant connaissance de l’adresse e-mail de l’utilisateur cible.  Cette faille est due à la valeur par défaut vide de la fonction ‘activation_code‘ et à l’absence de vérification des valeurs non vides dans la fonction ‘lwp_ajax_register‘.



Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8.



RISQUES DE SÉCURITÉ




  • Compromission de la plateforme



SYSTÈMES AFFECTÉS 




  • Toutes les versions du plugin Login with phone number antérieures à la version 1.7.27



MESURES À PRENDRE 




  • Mettre à jour la version du plugin Login with phone number vers la version 1.7.27 ou ultérieure. 





Source : bjCSIRT


Tags
Photo de ACM_Admin ACM_Admin Envoyer un courriel 3 juin 2024
0 Moins d'une minute
Photo de ACM_Admin

ACM_Admin

Articles similaires

Multiples vulnérabilités dans Traefik (05 mars 2026)

il y a 4 jours

Vulnérabilité dans NetApp ONTAP 9 (05 mars 2026)

il y a 4 jours

Vulnérabilité dans ClamAV (05 mars 2026)

il y a 4 jours

Multiples vulnérabilités dans les produits Cisco (05 mars 2026)

il y a 4 jours

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Prouvez votre humanité: 10   +   5   =  

Bouton retour en haut de la page