Origine : bjCSIRT
Numéro : 2024/ALERTE/033
Date de l’alerte : 31/05/2024
APERÇU :
DESCRIPTION :
Le plugin « Login with Phone Number » de WordPress permet de s’enregistrer et de se connecter sur un site WordPress grâce à un numéro de téléphone. Le client s’authentifie en utilisant un OTP reçu sur son numéro de téléphone.
Ce plugin est affecté par une vulnérabilité libellée CVE-2024-5150. Son exploitation permettrait à un acteur malveillant non authentifié de se connecter à n’importe quel compte utilisateur existant, y compris les comptes administrateurs, en ayant connaissance de l’adresse e-mail de l’utilisateur cible. Cette faille est due à la valeur par défaut vide de la fonction ‘activation_code‘ et à l’absence de vérification des valeurs non vides dans la fonction ‘lwp_ajax_register‘.
Cette vulnérabilité est classée critique avec un score CVSSv3 de 9.8.
IMPACT :
Compromission de la plateforme
SYSTÈMES AFFECTÉS :
Toutes les versions du plugin Login with phone number antérieures à la version 1.7.27
MESURES À PRENDRE :
Mettre à jour la version du plugin Login with phone number vers la version 1.7.27 ou ultérieure.
RÉFÉRENCES :
- https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.7.25/login-with-phonenumber.php#L4183
- https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.7.25/login-with-phonenumber.php#L4220
- https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.7.25/login-with-phonenumber.php#L4241
- https://plugins.trac.wordpress.org/changeset/3090625/login-with-phone-number
- https://plugins.trac.wordpress.org/changeset/3090754/login-with-phone-number#file5
- https://www.wordfence.com/threat-intel/vulnerabilities/id/cf34eb9f-f6e9-4a7a-8459-c86f9fa3dad8?source=cve