CVE-2020-35590

Versões do plugin limit-login-attempts-reloaded anteriores à 2.17.4 para WordPress

A vulnerabilidade permite contornar os limites de taxa por endereço IP, pois o cabeçalho X-Forwarded-For pode ser falsificado. Quando o plugin está configurado para aceitar um cabeçalho arbitrário para o endereço IP de origem do cliente, um usuário mal-intencionado pode realizar um ataque de força bruta sem restrições, já que o cabeçalho do IP do cliente aceita qualquer sequência de caracteres arbitrária. Isso é possível ao randomizar a entrada do cabeçalho, fazendo com que a contagem de tentativas de login nunca atinja o número máximo permitido de tentativas.

Para versões do plugin limit-login-attempts-reloaded anteriores à 2.17.4, atualize para a versão 2.17.4 ou posterior para resolver o problema.

Como solução temporária, considere desativar a aceitação de cabeçalhos arbitrários para o endereço IP de origem do cliente até que um patch esteja disponível.

Restrinja o acesso ao arquivo LimitLoginAttempts.php para minimizar o risco de exploração.

Evite usar o cabeçalho X-Forwarded-For no plugin afetado até que o problema seja resolvido.