Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
El plugin permite el envío masivo de códigos OTP sin restricciones, lo que facilita ataques automatizados para adivinar el código exitosamente. Existen PoC públicos en WPScan y GitHub, incluyendo scripts en Python que prueban rápidamente todos los posibles códigos.
Recursos afectados
Plugin DIGITS para WordPress versiones ≤ 8.4.6.0
Solución
Actualizar inmediatamente a la versión 8.4.6.1 o superior del plugin
Recomendaciones
- Implementar controles adicionales de limitación de intentos de OTP.
- Monitorear actividad inusual en endpoints de validación SMS.
- Considerar bloqueo temporal de IP tras múltiples errores.
- En lo posible, deshabilitar el plugin hasta aplicar el parche.
Referencias