Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-8760 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-27 |
| Producent | WordPress |
| Produkt | Login with OTP (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Wtyczka Login with OTP dla WordPress jest podatna na ominięcie uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Wynika to z niekompletnej poprawki dla CVE-2024-11178: kontrola limitu prób / blokady dodana do funkcji
otpl_login_action()została umieszczona wyłącznie w gałęzi generowania OTP i nigdy nie jest sprawdzana w gałęzi weryfikacji OTP, a dodatkowo wygenerowany 6-cyfrowy kod OTP nie ma terminu ważności. Umożliwia to nieuwierzytelnionym atakującym przeprowadzenie ataku brute-force na przestrzeń 900 000 możliwych wartości OTP…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu Login with OTP (plugin) firmy WordPress. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
