CVE-2026-3655 in OTP Login With Phone Number OTP Verification Pluginالمعلومات

الملخص

بحسب VulDB • 29/05/2026

يوجد ثغرة في نظام تجاوز المصادقة (Authentication Bypass) في إضافة WordPress "OTP Login With Phone Number, OTP Verification" في الإصدارات من 1.8.50 إلى 1.8.60. ويعود ذلك إلى أن تدفق التحقق من Firebase في معالج AJAX `lwp_ajax_register` لا يربط جلسة Firebase برقم الهاتف المقدم في الطلب. تقوم الدالة `idehweb_lwp_activate_through_firebase()` بالتحقق من شرعية جلسة Firebase OTP، ولكن رقم الهاتف (`phoneNumber`) الذي يعيده Firebase لا يتم مقارنته مطلقًا برقم الهاتف المخزن للمستخدم الضحية. وهذا يتيح للمهاجمين غير المصادق عليهم (unauthenticated) المصادقة بصفتهم أي مستخدم لديه رقم هاتف مخزن في بيانات المستخدم (user meta)، بما في ذلك المسؤولون (administrators)، من خلال التحقق من جلستهم الخاصة على Firebase وتقديم رقم هاتف الضحية في نفس الطلب.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

06/03/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367125

CPE

جاهز

CWE

CWE-287 (مؤكد)

CVSS

9.8 (CNA)

EPSS

0.00263

KEV

لا

النشاطات

متوسط

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3655
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3655
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3655/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!