Krytyczna luka w wtyczce OTP Login With Phone Number dla WordPress umożliwia obejście uwierzytelniania

Krytyczna luka w wtyczce OTP Login With Phone Number dla WordPress umożliwia obejście uwierzytelniania i przejęcie konta. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-3655CVSS 9.8CMS

Krytyczna luka w wtyczce OTP Login With Phone Number dla WordPress umożliwia obejście uwierzytelniania

Krytyczna luka w wtyczce OTP Login With Phone Number dla WordPress umożliwia obejście uwierzytelniania i przejęcie konta. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
38.66%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka OTP Login With Phone Number, OTP Verification dla WordPress w wersjach 1.8.50 do 1.8.60 posiada krytyczną lukę pozwalającą na obejście uwierzytelniania. Luka wynika z braku powiązania sesji Firebase z numerem telefonu podanym w żądaniu, co umożliwia atakującemu uwierzytelnienie się jako dowolny użytkownik.

Wpływ biznesowy

Atakujący mogą uzyskać nieautoryzowany dostęp do kont użytkowników, w tym administratorów, co stwarza poważne ryzyko dla bezpieczeństwa witryny i danych. Może to prowadzić do przejęcia kontroli nad stroną, modyfikacji treści lub kradzieży informacji. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki u dostawcy oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję wtyczki, monitorować logi pod kątem podejrzanych prób logowania oraz weryfikować uprawnienia użytkowników. Priorytetowo należy przeprowadzić audyt bezpieczeństwa i rozważyć dodatkowe mechanizmy uwierzytelniania.

Źródła