Уразливість обходу автентифікації в плагіні User Verification by PickPlugins для WordPress
Критична уразливість CVE-2026-7458 в плагіні User Verification by PickPlugins дозволяє обходити автентифікацію та отримувати доступ до облікових записів користувачів WordPress.
- CVSS
- 9.8 CRITICAL
- EPSS
- 43.35%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін User Verification by PickPlugins для WordPress має критичну уразливість обходу автентифікації у версіях до 2.0.46 включно. Через неправильну перевірку OTP-кодів зловмисники можуть увійти під будь-яким користувачем із підтвердженою електронною адресою, включно з адміністраторами.
Бізнес-вплив
Ця уразливість дозволяє неавторизованим зловмисникам отримати доступ до облікових записів користувачів з підтвердженими email, що ставить під загрозу безпеку вебсайтів на WordPress. Зловмисники можуть отримати права адміністратора, що призведе до компрометації даних, порушення роботи сервісів та потенційних фінансових втрат.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень плагіна User Verification by PickPlugins та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до функції автентифікації, переглянути журнали входів на предмет підозрілої активності та розглянути тимчасове відключення плагіна. Важливо також посилити моніторинг безпеки та пріоритезувати виправлення цієї уразливості.