Vulnerabilidad en Plugin DIGITS para WordPress
Se ha identificado una vulnerabilidad crítica en el complemento DIGITS: WordPress Mobile Number Signup and Login que permite a atacantes eludir sistemas de autenticación mediante ataques de fuerza bruta contra códigos OTP (One-Time Password).
Productos Afectados:
⚠️ DIGITS para WordPress: Todas las versiones anteriores a 8.4.6.1
Detalles Técnicos
| Parámetro | Detalle |
|---|---|
| CVE-ID | CVE-2025-4094 |
| CVSS v3.1 | 9.8 (CRÍTICO) |
| Tipo de Vulnerabilidad | Omisión de autenticación |
| Mecanismo de Ataque | Fuerza bruta contra OTP sin limitación de intentos |
| Impacto Inmediato | Bypass de autenticación y restablecimiento de contraseñas |
| Vector de Ataque | Remoto (sin credenciales previas) |
Impacto en la UC
Sitios WordPress institucionales que usen este plugin podrían verse comprometidos, permitiendo:
- Acceso no autorizado a cuentas administrativas o de usuarios
- Suplantación de identidad en sistemas vinculados
- Exposición de datos sensibles (matrículas, información académica)
- Alteración de contenidos en portales UC
Acción Requerida
- Actualización inmediata:
- Acceder al panel de WordPress → Plugins → DIGITS → Actualizar a versión 8.4.6.1 o superior
- Descarga oficial
- Verificación proactiva:
- Monitorear logs de acceso para detectar peticiones repetidas a:
POST /wp-json/digits/v1/validate_otp - Implementar sistemas de rate-limiting (ej: Wordfence)
- Monitorear logs de acceso para detectar peticiones repetidas a:
Referencias Oficiales
🔗 WP Scan Advisory
🔗 NVD CVE-2025-4094
🔗 Documentación DIGITS
Nota para administradores:
Verificar sitios en subdominios (ej: eventos.uc.edu.py, facultades.uc.edu.py) que puedan usar este plugin.