Krytyczna luka uwierzytelniania w wtyczce Temporary Login dla WordPress

Krytyczna luka w wtyczce Temporary Login dla WordPress umożliwia ominięcie uwierzytelniania i dostęp do kont tymczasowych użytkowników.
CVE-2026-7567CVSS 9.8Web

Krytyczna luka uwierzytelniania w wtyczce Temporary Login dla WordPress

Krytyczna luka w wtyczce Temporary Login dla WordPress umożliwia ominięcie uwierzytelniania i dostęp do kont tymczasowych użytkowników.

CVSS
9.8 CRITICAL
EPSS
94.74%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Temporary Login dla WordPress w wersjach do 1.0.0 umożliwia ominięcie uwierzytelniania poprzez niewłaściwą walidację parametru 'temp-login-token'. Atakujący może uzyskać dostęp jako dowolny tymczasowy użytkownik, wysyłając specjalnie spreparowane żądanie GET.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.8 pozwala nieautoryzowanym osobom na dostęp do kont tymczasowych użytkowników WordPress bez ważnego tokena. Może to prowadzić do przejęcia sesji, eskalacji uprawnień i potencjalnego naruszenia integralności oraz poufności danych w systemie.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Temporary Login i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do funkcji tymczasowego logowania, monitorować logi pod kątem podejrzanych żądań GET z parametrem 'temp-login-token' oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetowo traktuj audyt i zabezpieczenie środowiska WordPress.

Źródła