CVE-2026-3655: Obejście uwierzytelniania we wtyczce WordPress OTP Login With Phone Number

Podsumowanie

Parametr	Wartość
CVE ID	CVE-2026-3655
Źródło alertu	GitHub Advisory - Krytyczna podatność
Rok publikacji CVE	2026
Data publikacji	2026-05-29
Producent	WordPress
Produkt	OTP Login With Phone Number, OTP Verification (plugin)
CVSS Score	9.8 (Krytyczny)
EPSS Score	Brak danych
CISA KEV	Nie
Ransomware	Nie potwierdzono

Opis podatności

Źródło: NVD

Wtyczka OTP Login With Phone Number, OTP Verification dla WordPress jest podatna na obejście uwierzytelniania (authentication bypass) w wersjach od 1.8.50 do 1.8.60. Przyczyną jest przepływ weryfikacji Firebase w obsłudze AJAX lwp_ajax_register, który nie wiąże sesji Firebase z numerem telefonu przekazanym w żądaniu. Funkcja idehweb_lwp_activate_through_firebase() sprawdza, czy sesja OTP Firebase jest prawidłowa, jednak phoneNumber zwracany przez Firebase nigdy nie jest porównywany z numerem ofiary…

Wymagane działania

Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.

Kogo dotyczy?

Podatność dotyczy produktu OTP Login With Phone Number, OTP Verification (plugin) firmy WordPress. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.

Źródła

• NVD - CVE-2026-3655

• FIRST EPSS

---

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.