Katalog CVE

CVE-2025-12374

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka do WordPressa 'Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification' jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.44 włącznie. Problem wynika z niewłaściwej walidacji generowania OTP przed porównaniem go z danymi wejściowymi użytkownika w funkcji 'user_verification_form_wrap_process_otpLogin'.

Ocena ryzyka

Atakujący, który nie jest uwierzytelniony, może zalogować się jako dowolny użytkownik z zweryfikowanym adresem e-mail, w tym jako administrator, przesyłając pustą wartość OTP. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć wdrożenie dodatkowych mechanizmów zabezpieczeń dla logowania użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 2.0.44. This is due to the plugin not properly validating that an OTP was generated before comparing it to user input in the "user_verification_form_wrap_process_otpLogin" function. This makes it possible for unauthenticated attackers to log in as any user with a verified email address, such as an administrator, by submitting an empty OTP value.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS