CVE-2023-6520

WP 2FA – Autenticação de dois fatores para o plugin do WordPress, versões até a 2.5.0, inclusive

O problema se deve à falta ou à validação incorreta do nonce na função send backup codes email, possibilitando que invasores não autenticados enviem e-mails com conteúdo arbitrário a usuários registrados por meio de uma solicitação falsificada. Isso pode ser feito induzindo um administrador do site ou outro usuário registrado a realizar uma ação, como clicar em um link. A verificação do nonce só é executada se um nonce estiver definido e, ao omitir um nonce da solicitação, a verificação pode ser contornada.

Para versões até a 2.5.0, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função send backup codes email. Como solução temporária, considere restringir o acesso à função send backup codes email até que um patch esteja disponível. Além disso, tenha cuidado ao clicar em links de fontes desconhecidas para minimizar o risco de exploração.