Contournement d’authentification dans le plugin Login with Phone Number de WordPress

By AfricaCyberMag , 03 juin, 2024

Par AfricaCyberMag , 03 juin 2024

Le plugin « Login with Phone Number » de WordPress permet de s’enregistrer et de se connecter sur un site WordPress grâce à un numéro de téléphone. Le client s’authentifie en utilisant un OTP reçu sur son numéro de téléphone.

Ce plugin est affecté par une vulnérabilité libellée CVE-2024-5150. Son exploitation permettrait à un acteur malveillant non authentifié de se connecter à n’importe quel compte utilisateur existant, y compris les comptes administrateurs, en ayant connaissance de l’adresse e-mail de l’utilisateur cible. Cette faille est due à la valeur par défaut vide de la fonction ‘activation_code‘ et à l’absence de vérification des valeurs non vides dans la fonction ‘lwp_ajax_register‘.

Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8.

RISQUES DE SÉCURITÉ

Compromission de la plateforme

SYSTÈMES AFFECTÉS

Toutes les versions du plugin Login with phone number antérieures à la version 1.7.27

MESURES À PRENDRE

Mettre à jour la version du plugin Login with phone number vers la version 1.7.27 ou ultérieure.

Source : bjCSIRT

Contournement d’authentification dans le plugin Login with Phone Number de WordPress

Cyber Defense Africa annonce la 3ème édition des Cafés de la Cybersécurité

La NDPC du Nigéria reçoit la visite de l’Autorité somalienne de protection des données

Rôle de l’ACRC dans le renforcement de la cyber résilience du secteur financier en Afrique

Google met en garde contre une faille de sécurité CVE-2024-7965 dans Chrome

Microsoft corrige une faille de contrebande ASCII qui permettait le vol de données depuis Microsoft 365 Copilot

Google corrige une faille de sécurité très grave dans Chrome

Actualités Cyber en Afrique

EN RELATION

More CYBER ALERTES