Durante una evaluación interna, Duo Security detectó una vulnerabilidad en su popular plugin de autenticación de dos factores para WordPress, que evita por completo las medidas de seguridad provistas.

Las versiones vulnerables incluyen el plugin Duo WordPress 1.8.1 y versiones anteriores, pero el problema se manifiesta sólo en implementaciones multi-sitio donde el plugin está habilitado sitio por sitio. Al explotar esta vulnerabilidad, un usuario de WordPress con credenciales válidas para un sitio fácilmente podía pasar por alto el proceso de autenticación de dos factores en un segundo sitio.

Duo Security proporcionó el siguiente escenario de ejemplo:

Una implementación multi-sitio de WordPress tiene dos sitios, Sitio1 y Sitio2, con el plugin Duo habilitado para el Sitio1 pero deshabilitado para Sitio2. En circunstancias normales, a los usuarios que inicien sesión en el Sitio1 se les solicitarán sus credenciales de acceso y la autenticación de dos factores, mientras que a los usuarios de Sitio2 se les pedirán sólo sus credenciales de acceso.

Un usuario de Sitio1 puede obligar al navegador a redirigir la consulta a la URL de inicio de sesión de Sitio2, que va a autenticar al usuario (como parte de la misma red multi-sitio de Wordpress), y redirigirlo de nuevo a Sitio1, sin solicitar la autenticación de dos factores.

Actualmente, los desarrolladores se encuentran trabajando en la solución a este problema y pronto lanzarán una nueva versión del plugin. Mientras tanto, se recomienda que los usuarios activen duo_wordpress de forma global en una configuración multi-sitio.

Actualización – Viernes, 14 de febrero, 8:40 AM PST Duo Seguridad ha publicado más información sobre este tema, así como una nueva versión del plugin.