🛡 VULNERABILIDADES 🛡

CVE-2026-3655: Detectada Vulnerabilidad Crítica (CVSS 9.8)

🛡CyberObservatorio
Idioma

CVE-2026-3655: Detectada Vulnerabilidad Crítica (CVSS 9.8)

Fuente: NVD NIST

En el actual panorama digital, donde la seguridad cibernética es de vital importancia, la reciente identificación de una vulnerabilidad crítica en un popular plugin de WordPress subraya la fragilidad de los sistemas que dependen de tecnologías de autenticación. La vulnerabilidad, conocida como CVE-2026-3655, ha sido calificada con una puntuación de 9.8 sobre 10 en la escala CVSS, indicando un nivel de riesgo extremadamente alto. Este hallazgo afecta particularmente a los usuarios de la funcionalidad de inicio de sesión mediante número de teléfono, que es utilizada por diversas organizaciones y sitios web en su infraestructura de acceso.

La vulnerabilidad en cuestión se encuentra en las versiones del plugin "OTP Login With Phone Number, OTP Verification" que van desde la 1.8.50 hasta la 1.8.60. El problema radica en un bypass de autenticación que se produce debido a un fallo en el flujo de verificación de Firebase. Específicamente, el manejador AJAX `lwp_ajax_register` no está vinculando correctamente la sesión de Firebase al número de teléfono proporcionado en la solicitud. Aunque la función `idehweb_lwp_activate_through_firebase()` valida que una sesión OTP de Firebase sea legítima, el número de teléfono devuelto por Firebase nunca se compara con el número almacenado en los datos del usuario. Esto permite a atacantes no autenticados suplantar la identidad de cualquier usuario que tenga un número de teléfono registrado, incluidos los administradores, simplemente verificando su propia sesión de Firebase y presentando el número de teléfono de la víctima en la misma solicitud.

Esta vulnerabilidad se clasifica bajo CWE-287, que corresponde a un tipo específico de debilidad de seguridad asociada con problemas de autenticación. El análisis del vector de ataque revela que se trata de un ataque de red con una complejidad baja y sin privilegios requeridos, lo que significa que un atacante no necesita ningún nivel de acceso previo ni interacción del usuario para llevar a cabo el ataque.

La clasificación CVSS de 9.8 sitúa esta vulnerabilidad en el nivel crítico, lo cual es alarmante, ya que las vulnerabilidades que alcanzan puntuaciones superiores a 9.0 suelen permitir la ejecución remota de código, escalada de privilegios o la completa toma de control del sistema. Esto plantea serias preocupaciones para la seguridad de las organizaciones que utilizan este plugin, ya que el potencial de explotación es alto y podría resultar en violaciones de datos significativas.

Para aquellos administradores de sistemas que busquen más detalles técnicos sobre esta vulnerabilidad, se pueden consultar las referencias específicas en el código del plugin afectado en los siguientes enlaces:

- [Código en referencia 1](https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L1167)

- [Código en referencia 2](https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L649)

- [Código en referencia 3](https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L659)

Dada la gravedad de esta situación, se recomienda encarecidamente a todas las organizaciones que utilizan el software afectado que implementen los parches de seguridad disponibles de inmediato. Además, es crucial que realicen una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso y que monitoricen el tráfico de red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La proactividad en la gestión de estas amenazas es esencial para salvaguardar tanto la integridad de los sistemas como la privacidad de los usuarios.

La historia reciente ha visto incidentes similares que han resaltado la importancia de mantener actualizados los sistemas y plugins utilizados. Con el aumento de las amenazas cibernéticas, los administradores de sistemas deben permanecer alerta y adoptar un enfoque proactivo en la ciberseguridad, ya que las consecuencias de una vulnerabilidad no atendida pueden ser devastadoras, tanto en términos de reputación como de pérdidas económicas.

CVE-2026-3655: Vulnerabilidad Crítica Detectada (CVSS 9.8)

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-3655, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The OTP Login With Phone Number, OTP Verification plugin for WordPress is vulnerable to authentication bypass in versions 1.8.50 through 1.8.60. This is due to the Firebase verification flow in the `lwp_ajax_register` AJAX handler not binding the Firebase session to the phone number supplied in the request. The `idehweb_lwp_activate_through_firebase()` function validates that a Firebase OTP session is legitimate, but the `phoneNumber` returned by Firebase is never compared against the victim's stored phone number. This makes it possible for unauthenticated attackers to authenticate as any user who has a phone number stored in user meta, including administrators, by verifying their own Firebase session and supplying the victim's phone number in the same request. La vulnerabilidad está clasificada como CWE-287, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L1167 https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L649 https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.60/inc/ajax-handlers.php#L659 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.