CVE-2025-13587: Bypass de autenticación de dos factores en Two Factor via Email
Un problema en un plugin 2FA de WordPress donde el manejo del token podía permitir saltarse el segundo factor por email.
CVE-2025-13587 es un bypass de autenticación de dos factores en el plugin Two Factor (2FA) Authentication via Email para WordPress.
El aviso público dice que el bug afectaba a las versiones hasta 1.9.8 inclusive. El problema estaba en SS88_2FAVE::wp_login(): el plugin solo aplicaba el requisito de 2FA cuando el parámetro HTTP GET token no estaba definido. Enviar cualquier valor para token, incluso un valor vacío, podía impedir que se aplicara el requisito del segundo factor.
El bug
Este hallazgo trataba más de flujo de control que de criptografía. No hacía falta romper el token 2FA. El problema era que un parámetro de la solicitud influía en si el plugin aplicaba o no el segundo paso.
El vector CVSS incluye PR:L, y eso importa: no era un bypass de login sin credenciales. El atacante todavía necesitaba credenciales primarias válidas para la cuenta objetivo. El bug debilitaba el segundo factor, no la verificación de contraseña.
Por qué importaba
Los plugins 2FA son controles de seguridad. Cuando el dueño de un sitio instala uno, está confiando explícitamente en que evite que una contraseña comprometida se convierta en una cuenta comprometida.
Eso hace que los bypasses en esta área merezcan ser tomados en serio, incluso cuando no conceden acceso no autenticado de inmediato. Si una contraseña reutilizada o robada por phishing lleva al atacante más allá del primer paso, el segundo paso debería ser el punto donde el ataque se detiene.
Fix
El changelog del plugin lista 1.9.9 como una corrección de seguridad para CVE-2025-13587. Los dueños de sitios deberían actualizar a la versión 1.9.9 o una más nueva.