CVE-2024-6125

Nome do software vulnerável e versões afetadas:

Plugin “Login with phone number” para versões do WordPress até a 1.7.34, inclusive

Descrição:

O problema está relacionado à geração de códigos de redefinição fracos e à ausência de limites de tentativas ou de tempo para a redefinição de senhas. Isso permite que invasores não autenticados redefinam a senha de usuários aleatórios ao adivinhar um código numérico de redefinição de 6 dígitos.

Recomendações:

Para versões até a 1.7.34, inclusive, considere desativar a funcionalidade de redefinição de senha até que um patch esteja disponível. Restrinja o acesso ao módulo de redefinição de senha para minimizar o risco de exploração. Evite usar o recurso de geração de código de redefinição no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.