CVE-2025-3746 in OTP-less One Tap Sign in Plugin
Zusammenfassung
von VulDB • 08.07.2026
Das WordPress-Plugin „OTP-less one tap Sign in" ist in den Versionen 2.0.14 bis 2.0.59 anfällig für eine Privilegieneskalation durch Account-Übernahme (Account Takeover). Dies liegt daran, dass das Plugin die Identität eines Benutzers nicht ordnungsgemäß überprüft, bevor dessen Daten wie z. B. die E-Mail-Adresse aktualisiert werden. Dadurch ist es unbefugten Angreifern möglich, die E-Mail-Adressen beliebiger Benutzer, einschließlich Administratoren, zu ändern und dies auszunutzen, um das Passwort des Benutzers zurückzusetzen und Zugriff auf deren Konto zu erlangen.
Darüber hinaus gibt das Plugin Authentifizierungs-Cookies in der Antwort zurück, mit denen direkt auf das Konto zugegriffen werden kann.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.