CVE-2026-7458: Luka uwierzytelniania w wtyczce User Verification by PickPlugins dla WordPress

Krytyczna luka w wtyczce User Verification by PickPlugins dla WordPress umożliwia obejście uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-7458CVSS 9.8Web

CVE-2026-7458: Luka uwierzytelniania w wtyczce User Verification by PickPlugins dla WordPress

Krytyczna luka w wtyczce User Verification by PickPlugins dla WordPress umożliwia obejście uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
43.35%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka User Verification by PickPlugins dla WordPress do wersji 2.0.46 ma krytyczną lukę umożliwiającą obejście uwierzytelniania poprzez niewłaściwe porównanie kodów OTP. Atakujący mogą zalogować się jako dowolny użytkownik z potwierdzonym adresem e-mail, w tym administrator, wysyłając fałszywą wartość OTP.

Wpływ biznesowy

Luka ta stwarza poważne ryzyko nieautoryzowanego dostępu do panelu WordPress, co może prowadzić do przejęcia kontroli nad stroną, modyfikacji treści lub instalacji złośliwego oprogramowania. Operatorzy IT powinni traktować tę podatność jako krytyczną, szczególnie w środowiskach z wieloma użytkownikami i wysokimi uprawnieniami.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki User Verification by PickPlugins i jej instalację. W przypadku braku łatki należy ograniczyć dostęp do panelu administracyjnego, monitorować logi pod kątem podejrzanych logowań oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetowo należy ocenić ryzyko i wdrożyć dodatkowe mechanizmy uwierzytelniania.

Źródła