CVE-2026-8760: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 28/05/2026 ⟫ NVD/NIST

Fuente: NVD NIST

Recientemente se ha identificado una vulnerabilidad crítica en el plugin "Login with OTP" para WordPress, clasificada como CVE-2026-8760, que presenta una puntuación alarmante en la escala CVSS de 9.8 sobre 10. Este hallazgo es significativo, dado que afecta a un gran número de sitios web que utilizan esta funcionalidad de autenticación, poniendo en riesgo la seguridad de las cuentas de usuario, incluidos los administradores. La naturaleza y severidad de esta vulnerabilidad demandan una atención inmediata por parte de los equipos de ciberseguridad de las organizaciones.

Desde un punto de vista técnico, el problema radica en un bypass de autenticación que afecta a todas las versiones del plugin hasta la 1.6. El fallo se debe a una corrección incompleta relacionada con la vulnerabilidad CVE-2024-11178. En esta versión, la verificación de tasa de intentos y bloqueo, implementada en la función `otpl_login_action()`, se evalúa únicamente dentro de la rama de generación del código de un solo uso (OTP), mientras que nunca se aplica en la rama de validación del OTP. Además, la OTP generada de seis dígitos carece de un tiempo de expiración, lo que permite a atacantes no autenticados intentar forzar el acceso al espacio de 900,000 combinaciones posibles de OTP para cualquier cuenta de usuario. Esto podría culminar en la obtención de una sesión válida a través de `wp_set_auth_cookie()`, lo que implica una posible toma de control total del sitio web afectado.

La vulnerabilidad ha sido clasificada bajo el identificador CWE-307, lo que señala que se trata de una debilidad específica en la gestión de la autenticación. Esto subraya la importancia de implementar controles de seguridad robustos para prevenir el acceso no autorizado a sistemas críticos.

El vector de ataque es de tipo NETWORK, con una complejidad de ataque baja, lo que indica que no se requieren privilegios especiales ni interacción del usuario para llevar a cabo un ataque exitoso. Con una puntuación CVSS de 9.8, esta vulnerabilidad se considera crítica, lo que significa que representa uno de los mayores riesgos de seguridad que pueden enfrentar las organizaciones. Vulnerabilidades de este tipo suelen permitir la ejecución remota de código, la escalada de privilegios o incluso el compromiso total de un sistema.

Para los administradores de sistemas que utilizan el plugin afectado, es crucial consultar las referencias técnicas disponibles para obtener más información sobre la vulnerabilidad y los parches que se han implementado. Las siguientes URLs pueden proporcionar información adicional: [NVD - CVE-2024-11178](https://nvd.nist.gov/vuln/detail/CVE-2024-11178), [Código fuente en Trac - línea 361](https://plugins.trac.wordpress.org/browser/otp-login/tags/1.6/lib/otpl-class.php#L361) y [Código fuente en Trac - línea 419](https://plugins.trac.wordpress.org/browser/otp-login/tags/1.6/lib/otpl-class.php#L419).

Ante esta situación, se recomienda encarecidamente a todas las organizaciones que utilicen el plugin "Login with OTP" que apliquen los parches de seguridad proporcionados de manera inmediata. Además, es fundamental que realicen una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso y que monitoricen de forma activa el tráfico de red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La proactividad en la gestión de la seguridad cibernética es esencial para mitigar los riesgos asociados con vulnerabilidades críticas como esta.

◢ VULNERABILIDADES ◣

CVE-2026-8760: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 28/05/2026 ⟫ NVD/NIST

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-8760, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The Login with OTP plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.6. This is due to an incomplete fix for CVE-2024-11178: the rate-limit/lockout check added to `otpl_login_action()` was placed only inside the OTP-generation branch and is never evaluated on the OTP-validation branch, and the generated 6-digit OTP additionally has no expiration. This makes it possible for unauthenticated attackers to brute-force the 900,000-value OTP space for any user account (including administrators) and obtain a valid `wp_set_auth_cookie()` session, leading to full site compromise. La vulnerabilidad está clasificada como CWE-307, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://nvd.nist.gov/vuln/detail/CVE-2024-11178 https://plugins.trac.wordpress.org/browser/otp-login/tags/1.6/lib/otpl-class.php#L361 https://plugins.trac.wordpress.org/browser/otp-login/tags/1.6/lib/otpl-class.php#L419 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

← VOLVER A CIBERSEGURIDAD