CRITICAL🇬🇧 English

CVE-2023-6272

Brak limitu prób weryfikacji 2FA w pluginie Theme My Login 2FA

CVSS 9.8v3.1pub. 2023-12-18upd. 2024-11-21

Plugin Theme My Login 2FA dla WordPress w wersjach przed 1.2 nie ogranicza liczby prób weryfikacji kodu dwuskładnikowego (2FA), co umożliwia przeprowadzenie ataku brute-force. Jest to szczególnie groźne, ponieważ kody 2FA składają się jedynie z 6 cyfr, co oznacza zaledwie milion możliwych kombinacji.

Pokaż oryginał (EN)

The Theme My Login 2FA WordPress plugin before 1.2 does not rate limit 2FA validation attempts, which may allow an attacker to brute-force all possibilities, which shouldn't be too long, as the 2FA codes are 6 digits.

🤖 Analiza AI
Jak działa

Atakujący może wysyłać kolejne żądania weryfikacji kodu 2FA bez żadnego ograniczenia liczby prób (brak mechanizmu rate limiting). Kod 2FA składa się z 6 cyfr, co daje przestrzeń 1 000 000 możliwych kombinacji. Przy braku blokady po określonej liczbie nieudanych prób atakujący może metodycznie próbować wszystkich możliwych kodów aż do uzyskania poprawnego. Podatność klasyfikowana jest jako CWE-307, czyli niewłaściwe ograniczenie nadmiernych prób uwierzytelnienia.

Skutki

Atakujący może ominąć mechanizm dwuskładnikowego uwierzytelnienia i uzyskać pełny dostęp do konta użytkownika WordPress, przejmując nad nim kontrolę. W zależności od uprawnień konta może to prowadzić do pełnego przejęcia witryny.

Mitygacja

Należy zaktualizować plugin Theme My Login 2FA do wersji 1.2 lub nowszej, która wprowadza mechanizm ograniczania liczby prób weryfikacji kodu 2FA.

Kogo dotyczy

Plugin Theme My Login 2FA dla WordPress w wersjach przed 1.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Thememylogin 2fa

    APP
    Thememylogin
    < 1.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje