CVE-2025-3746 in OTP-less One Tap Sign in Plugininfo

Zusammenfassung

von VulDB • 08.07.2026

Das WordPress-Plugin „OTP-less one tap Sign in" ist in den Versionen 2.0.14 bis 2.0.59 anfällig für eine Privilegieneskalation durch Account-Übernahme (Account Takeover). Dies liegt daran, dass das Plugin die Identität eines Benutzers nicht ordnungsgemäß überprüft, bevor dessen Daten wie z. B. die E-Mail-Adresse aktualisiert werden. Dadurch ist es unbefugten Angreifern möglich, die E-Mail-Adressen beliebiger Benutzer, einschließlich Administratoren, zu ändern und dies auszunutzen, um das Passwort des Benutzers zurückzusetzen und Zugriff auf deren Konto zu erlangen.

Darüber hinaus gibt das Plugin Authentifizierungs-Cookies in der Antwort zurück, mit denen direkt auf das Konto zugegriffen werden kann.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Reservieren

16.04.2025

Veröffentlichung

02.05.2025

Moderieren

akzeptiert

Eintrag

VDB-306901

CPE

bereit

EPSS

0.00477

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!