Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-7458 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-02 |
| Producent | WordPress |
| Produkt | User Verification by PickPlugins (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Plugin User Verification by PickPlugins dla WordPressa jest podatny na ominięcie uwierzytelniania we wszystkich wersjach do 2.0.46 włącznie. Przyczyną jest użycie luźnego operatora porównania PHP do walidacji kodów OTP w funkcji
user_verification_form_wrap_process_otpLogin. Pozwala to nieuwierzytelnionym atakującym zalogować się jako dowolny użytkownik ze zweryfikowanym adresem e-mail (np. administrator) poprzez przesłanie wartości OTP równejtrue.
Wymagane działania
Niezwłocznie zaktualizuj plugin User Verification by PickPlugins do wersji nowszej niż 2.0.46 zawierającej poprawkę bezpieczeństwa. Do czasu aktualizacji wyłącz plugin lub funkcję logowania OTP. Przejrzyj logi serwera oraz logi WordPress pod kątem nietypowych logowań kont z weryfikowanymi adresami e-mail (zwłaszcza administratorów) i wymuś rotację haseł dla kont uprzywilejowanych.
Kogo dotyczy?
Podatność dotyczy produktu User Verification by PickPlugins (plugin) dla WordPress. Sprawdź czy Twoja organizacja korzysta z tego pluginu i niezwłocznie podejmij działania mitygacyjne.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
