Plugin Theme My Login 2FA dla WordPress w wersjach przed 1.2 nie ogranicza liczby prób weryfikacji kodu dwuskładnikowego (2FA), co umożliwia przeprowadzenie ataku brute-force. Jest to szczególnie groźne, ponieważ kody 2FA składają się jedynie z 6 cyfr, co oznacza zaledwie milion możliwych kombinacji.
▸ Pokaż oryginał (EN)
The Theme My Login 2FA WordPress plugin before 1.2 does not rate limit 2FA validation attempts, which may allow an attacker to brute-force all possibilities, which shouldn't be too long, as the 2FA codes are 6 digits.
Atakujący może wysyłać kolejne żądania weryfikacji kodu 2FA bez żadnego ograniczenia liczby prób (brak mechanizmu rate limiting). Kod 2FA składa się z 6 cyfr, co daje przestrzeń 1 000 000 możliwych kombinacji. Przy braku blokady po określonej liczbie nieudanych prób atakujący może metodycznie próbować wszystkich możliwych kodów aż do uzyskania poprawnego. Podatność klasyfikowana jest jako CWE-307, czyli niewłaściwe ograniczenie nadmiernych prób uwierzytelnienia.
Atakujący może ominąć mechanizm dwuskładnikowego uwierzytelnienia i uzyskać pełny dostęp do konta użytkownika WordPress, przejmując nad nim kontrolę. W zależności od uprawnień konta może to prowadzić do pełnego przejęcia witryny.
Należy zaktualizować plugin Theme My Login 2FA do wersji 1.2 lub nowszej, która wprowadza mechanizm ograniczania liczby prób weryfikacji kodu 2FA.
Plugin Theme My Login 2FA dla WordPress w wersjach przed 1.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HThememylogin 2fa
APPThememylogin< 1.2