CVE-2025-12374
CriticalSummary
Wtyczka do WordPressa 'Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification' jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.44 włącznie. Problem wynika z niewłaściwej walidacji generowania OTP przed porównaniem go z danymi wejściowymi użytkownika w funkcji 'user_verification_form_wrap_process_otpLogin'.
Risk Assessment
Atakujący, który nie jest uwierzytelniony, może zalogować się jako dowolny użytkownik z zweryfikowanym adresem e-mail, w tym jako administrator, przesyłając pustą wartość OTP. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć wdrożenie dodatkowych mechanizmów zabezpieczeń dla logowania użytkowników.
Original NVD description (English source)
The Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 2.0.44. This is due to the plugin not properly validating that an OTP was generated before comparing it to user input in the "user_verification_form_wrap_process_otpLogin" function. This makes it possible for unauthenticated attackers to log in as any user with a verified email address, such as an administrator, by submitting an empty OTP value.

