Katalog CVE

CVE-2026-7458

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka User Verification by PickPlugins dla WordPress jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.46 włącznie. Problem wynika z użycia luźnego operatora porównania PHP do walidacji kodów OTP w funkcji 'user_verification_form_wrap_process_otpLogin'.

Ocena ryzyka

Atakujący, który nie jest uwierzytelniony, może zalogować się jako dowolny użytkownik z potwierdzonym adresem e-mail, w tym administrator, przesyłając 'prawidłową' wartość OTP. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć wprowadzenie dodatkowych środków zabezpieczających w procesie logowania.

Oryginalny opis (angielski, źródło NVD)

The User Verification by PickPlugins plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 2.0.46. This is due to the use of a loose PHP comparison operator to validate OTP codes in the "user_verification_form_wrap_process_otpLogin" function. This makes it possible for unauthenticated attackers to log in as any user with a verified email address, such as an administrator, by submitting a "true" OTP value.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS