Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Limit Login Attempts Plus para WordPress (CVE-2022-4533)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
19/09/2024
Última modificación:
25/09/2024

Descripción

El complemento Limit Login Attempts Plus para WordPress es vulnerable a la suplantación de direcciones IP en versiones hasta la 1.1.0 incluida. Esto se debe a restricciones insuficientes sobre dónde se recupera la información de la dirección IP para el registro de solicitudes y las restricciones de inicio de sesión. Los atacantes pueden proporcionar el encabezado X-Forwarded-For con una dirección IP diferente que se registrará y se puede usar para eludir configuraciones que pueden haber bloqueado el inicio de sesión de una dirección IP o un país.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:felixmoira:limit_login_attempts_plus:*:*:*:*:*:wordpress:*:* 1.1.0 (incluyendo)