Katalog CVE

CVE-2026-8760

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Logowanie z OTP dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Problem wynika z niekompletnej poprawki dla CVE-2024-11178, co umożliwia atakującym brute-force na 6-cyfrowy OTP bez limitu czasowego.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do kont użytkowników, w tym administratorów, co prowadzi do pełnego przejęcia strony. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie prób logowania.

Oryginalny opis (angielski, źródło NVD)

The Login with OTP plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.6. This is due to an incomplete fix for CVE-2024-11178: the rate-limit/lockout check added to `otpl_login_action()` was placed only inside the OTP-generation branch and is never evaluated on the OTP-validation branch, and the generated 6-digit OTP additionally has no expiration. This makes it possible for unauthenticated attackers to brute-force the 900,000-value OTP space for any user account (including administrators) and obtain a valid `wp_set_auth_cookie()` session, leading to full site compromise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS