En el actual panorama digital, donde la seguridad cibernética es de vital importancia, la reciente identificación de una vulnerabilidad crítica en un popular plugin de WordPress subraya la fragilidad de los sistemas que dependen de tecnologías de autenticación. La vulnerabilidad, conocida como CVE-2026-3655, ha sido calificada con una puntuación de 9.8 sobre 10 en la escala CVSS, indicando un nivel de riesgo extremadamente alto. Este hallazgo afecta particularmente a los usuarios de la funcionalidad de inicio de sesión mediante número de teléfono, que es utilizada por diversas organizaciones y sitios web en su infraestructura de acceso.
La vulnerabilidad en cuestión se encuentra en las versiones del plugin "OTP Login With Phone Number, OTP Verification" que van desde la 1.8.50 hasta la 1.8.60. El problema radica en un bypass de autenticación que se produce debido a un fallo en el flujo de verificación de Firebase. Específicamente, el manejador AJAX `lwp_ajax_register` no está vinculando correctamente la sesión de Firebase al número de teléfono proporcionado en la solicitud. Aunque la función `idehweb_lwp_activate_through_firebase()` valida que una sesión OTP de Firebase sea legítima, el número de teléfono devuelto por Firebase nunca se compara con el número almacenado en los datos del usuario. Esto permite a atacantes no autenticados suplantar la identidad de cualquier usuario que tenga un número de teléfono registrado, incluidos los administradores, simplemente verificando su propia sesión de Firebase y presentando el número de teléfono de la víctima en la misma solicitud.
Esta vulnerabilidad se clasifica bajo CWE-287, que corresponde a un tipo específico de debilidad de seguridad asociada con problemas de autenticación. El análisis del vector de ataque revela que se trata de un ataque de red con una complejidad baja y sin privilegios requeridos, lo que significa que un atacante no necesita ningún nivel de acceso previo ni interacción del usuario para llevar a cabo el ataque.
La clasificación CVSS de 9.8 sitúa esta vulnerabilidad en el nivel crítico, lo cual es alarmante, ya que las vulnerabilidades que alcanzan puntuaciones superiores a 9.0 suelen permitir la ejecución remota de código, escalada de privilegios o la completa toma de control del sistema. Esto plantea serias preocupaciones para la seguridad de las organizaciones que utilizan este plugin, ya que el potencial de explotación es alto y podría resultar en violaciones de datos significativas.
Para aquellos administradores de sistemas que busquen más detalles técnicos sobre esta vulnerabilidad, se pueden consultar las referencias específicas en el código del plugin afectado en los siguientes enlaces:
- [Código en referencia 1](https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L1167)
- [Código en referencia 2](https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L649)
- [Código en referencia 3](https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L659)
Dada la gravedad de esta situación, se recomienda encarecidamente a todas las organizaciones que utilizan el software afectado que implementen los parches de seguridad disponibles de inmediato. Además, es crucial que realicen una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso y que monitoricen el tráfico de red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La proactividad en la gestión de estas amenazas es esencial para salvaguardar tanto la integridad de los sistemas como la privacidad de los usuarios.
La historia reciente ha visto incidentes similares que han resaltado la importancia de mantener actualizados los sistemas y plugins utilizados. Con el aumento de las amenazas cibernéticas, los administradores de sistemas deben permanecer alerta y adoptar un enfoque proactivo en la ciberseguridad, ya que las consecuencias de una vulnerabilidad no atendida pueden ser devastadoras, tanto en términos de reputación como de pérdidas económicas.