Contournement d’authentification dans le plugin Login with Phone Number de WordPress

By AfricaCyberMag , 03 juin, 2024

Par AfricaCyberMag , 03 juin 2024

Le plugin « Login with Phone Number » de WordPress permet de s’enregistrer et de se connecter sur un site WordPress grâce à un numéro de téléphone. Le client s’authentifie en utilisant un OTP reçu sur son numéro de téléphone.

Ce plugin est affecté par une vulnérabilité libellée CVE-2024-5150. Son exploitation permettrait à un acteur malveillant non authentifié de se connecter à n’importe quel compte utilisateur existant, y compris les comptes administrateurs, en ayant connaissance de l’adresse e-mail de l’utilisateur cible. Cette faille est due à la valeur par défaut vide de la fonction ‘activation_code‘ et à l’absence de vérification des valeurs non vides dans la fonction ‘lwp_ajax_register‘.

Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8.

RISQUES DE SÉCURITÉ

Compromission de la plateforme

SYSTÈMES AFFECTÉS

Toutes les versions du plugin Login with phone number antérieures à la version 1.7.27

MESURES À PRENDRE

Mettre à jour la version du plugin Login with phone number vers la version 1.7.27 ou ultérieure.

Source : bjCSIRT

Contournement d’authentification dans le plugin Login with Phone Number de WordPress

Bénin CyberDay 2024 : l’ASIN et le Ministère de la digitalisation promettent un évènement unique dédié à la cybersécurité

Cybersécurité et innovation : L’ARTCI organise la 2ᵉ édition du ARTCI DAYS

Les centres de formation Kaspersky en Afrique (ATC)

Attention de multiples vulnérabilités découvertes Google Android

Attention de multiples vulnérabilités découvertes dans le noyau Linux de Red Hat

Attention de multiples vulnérabilités découvertes dans les produits Apple

Actualités Cyber en Afrique

EN RELATION

More CYBER ALERTES