CVE-2026-8293
WysokieCVSS 7.5Streszczenie
Wtyczka Really Simple Security dla WordPressa przed wersją 9.5.10.1 nie wymusza drugiego etapu weryfikacji w dwóch punktach końcowych uwierzytelniania dwuskładnikowego, co pozwala atakującemu, który zna hasło użytkownika, uzyskać sesję uwierzytelnienia WordPressa bez ukończenia wyzwania OTP wysyłanego na e-mail.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów. Atakujący mogą wykorzystać tę lukę do uzyskania pełnej kontroli nad kontem użytkownika.
Rekomendacja
Zaleca się aktualizację wtyczki Really Simple Security do wersji 9.5.10.1 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo warto rozważyć wdrożenie dodatkowych środków bezpieczeństwa w celu ochrony kont użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Really Simple Security WordPress plugin before 9.5.10.1 does not enforce the second-factor challenge in two of its two-factor authentication REST endpoints, allowing an attacker who knows a user's password to obtain a WordPress authentication session for that user without completing the email OTP challenge.

