CVE-2026-3655
KrytyczneStreszczenie
Wtyczka OTP Login With Phone Number, OTP Verification dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.8.50 do 1.8.60. Problem wynika z braku powiązania sesji Firebase z numerem telefonu podanym w żądaniu, co umożliwia atakującym uwierzytelnienie się jako dowolny użytkownik posiadający numer telefonu w metadanych użytkownika.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do kont użytkowników, w tym administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Potencjalne naruszenie danych i nieautoryzowany dostęp do wrażliwych informacji mogą prowadzić do poważnych konsekwencji dla organizacji.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto przeprowadzić audyt kont użytkowników w celu wykrycia nieautoryzowanych logowań.
Oryginalny opis (angielski, źródło NVD)
The OTP Login With Phone Number, OTP Verification plugin for WordPress is vulnerable to authentication bypass in versions 1.8.50 through 1.8.60. This is due to the Firebase verification flow in the `lwp_ajax_register` AJAX handler not binding the Firebase session to the phone number supplied in the request. The `idehweb_lwp_activate_through_firebase()` function validates that a Firebase OTP session is legitimate, but the `phoneNumber` returned by Firebase is never compared against the victim's stored phone number. This makes it possible for unauthenticated attackers to authenticate as any user who has a phone number stored in user meta, including administrators, by verifying their own Firebase session and supplying the victim's phone number in the same request.

