Durante a realização de uma avaliação interna, a Duo Security encontrou uma vulnerabilidade em seu sistema de autenticação de dois fatores do WordPress, que ignora completamente as medidas de segurança previstas para ele. As versões vulneráveis incluem Duo WordPress plugin 1.8.1 e versões anteriores, mas a questão se manifesta apenas em implantações multisite onde o plugin está ativado em um site de base local. Ao explorar esta vulnerabilidade, um usuário do WordPress com credenciais válidas para um site, pode, facilmente, ignorar o procedimento de autenticação de dois fatores no segundo site.
Dessa forma, a Duo Security, apresentou como exemplo o cenário a seguir:
A implantação multi-site WordPress tem dois sites, Site1 e Site2 , com o plugin WordPress Duo habilitado para Site1 mas desativado para Site2. Em circunstâncias normais, os usuários conectados no Site1 receberão uma solicitação para fornecer credenciais primárias e autenticação de dois fatores; os usuários do Site2 receberão solicitação apenas para credenciais primários.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=16361