Критична уразливість обходу автентифікації в плагіні OTP Login With Phone Number для WordPress
Уразливість CVE-2026-3655 в плагіні OTP Login With Phone Number дозволяє обходити автентифікацію, ставлячи під загрозу безпеку WordPress сайтів.
- CVSS
- 9.8 CRITICAL
- EPSS
- 38.66%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін OTP Login With Phone Number, OTP Verification для WordPress версій 1.8.50–1.8.60 має критичну уразливість обходу автентифікації через неправильну перевірку номера телефону у Firebase сесії. Зловмисники можуть аутентифікуватися як будь-який користувач, включно з адміністраторами, підставляючи чужий номер телефону.
Бізнес-вплив
Ця уразливість дозволяє неавторизованим зловмисникам отримати доступ до облікових записів користувачів WordPress, включно з адміністративними, що ставить під загрозу безпеку сайту та конфіденційність даних. Вразливість має критичний рейтинг CVSS 9.8, що вказує на високий ризик компрометації системи та можливі серйозні наслідки для бізнесу.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до функцій автентифікації, провести аудит логів на предмет підозрілої активності та розглянути тимчасове відключення плагіна. Також варто посилити моніторинг безпеки та інформувати користувачів про потенційні ризики.