CVE-2026-8760
KrytyczneStreszczenie
Wtyczka Logowanie z OTP dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Problem wynika z niekompletnej poprawki dla CVE-2024-11178, co umożliwia atakującym brute-force na 6-cyfrowy OTP bez limitu czasowego.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do kont użytkowników, w tym administratorów, co prowadzi do pełnego przejęcia strony. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie prób logowania.
Oryginalny opis (angielski, źródło NVD)
The Login with OTP plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.6. This is due to an incomplete fix for CVE-2024-11178: the rate-limit/lockout check added to `otpl_login_action()` was placed only inside the OTP-generation branch and is never evaluated on the OTP-validation branch, and the generated 6-digit OTP additionally has no expiration. This makes it possible for unauthenticated attackers to brute-force the 900,000-value OTP space for any user account (including administrators) and obtain a valid `wp_set_auth_cookie()` session, leading to full site compromise.

