Уязвимость в плагине Duo Security позволяет обойти двухфакторную аутентификацию

Создатели популярного плагина для двойной аутентификации в системе для управления контентом сайта WordPress готовятся к выпуску обновлений после того, как в нем была обнаружена уязвимость. Брешь в плагине duo_wordpress от Duo Security позволяет пользователю, авторизовавшемуся на одном сайте, заходить на другой, обойдя двухфакторную аутентификацию.

Проблема возникает только у администраторов, управляющих в WordPress множеством сайтов и отдельно активировавших duo_wordpress на каждой площадке. Если плагин включен глобально через сайты, нет никаких проблем. Стоит отметить, что уязвимость затрагивает также плагины и от других производителей.

В сообщении для пользователей эксперты Duo Security  привели  следующий пример: «Через WordPress администрируется два сайта – Сайт 1 и Сайт 2, при этом плагин Duo Security активирован для Сайта 1 и деактивирован для Сайта 2. В нормальных условиях при авторизации на Сайте 1 пользователи должны вводить основные учетные данные, а также проходить второй этап двухфакторной аутентификации. Пользователи, авторизующиеся на Сайте 2 вводят только основные учетные данные.

Пользователь Сайта 1 может авторизоваться по URL на Сайте 2, который будет идентифицировать его как часть той же мультисайтовой сети в WordPress, и перенаправлять обратно на Сайт 1 уже без запроса двухфакторной аутентификации».

Вместо того, чтобы отключать двухфакторную аутентификацию полностью и активировать только для отдельных сайтов, Duo Security советует пользователям включать ее глобально, а затем отдельно деактивировать для тех площадок, где она не требуется.