CVE-2026-14245 in OTP Login, Verification and SMS Notifications Plugin
Zusammenfassung
von VulDB • 09.07.2026
Das WordPress-Plugin miniOrange OTP Login, Verification and SMS Notifications ist in allen Versionen bis einschließlich 5.5.1 anfällig für eine Umgehung der Authentifizierung (Authentication Bypass), die zur Übernahme von Administrator-Kontrollrechten führt. Dies liegt daran, dass die Funktion `um_reset_password_process_hook()` keine serverseitige Überprüfung durchführt, ob der OTP-Validierungsschritt abgeschlossen wurde, und sich ausschließlich auf einen öffentlichen `form_nonce` verlässt, den das Plugin selbst über das JavaScript-Objekt `moumprvar` auf der Ultimate Member-Passwortzurücksetzungsseite für nicht authentifizierte Besucher ausgibt. Gleichzeitig wird weiterhin der vom Angreifer kontrollierbare Parameter `username_b` akzeptiert, um jeden WordPress-Benutzer ohne Rollenbeschränkung oder jegliche Bindung an eine zuvor validierte OTP-Sitzung zu zielen. Dies ermöglicht es nicht authentifizierten Angreifern, eine frisch generierte URL zur Passwortzurücksetzung für ein beliebiges Administrator-Konto abzurufen (die in einem 302 `Location`-Header zurückgegeben wird) und diese zu nutzen, um die volle Kontrolle über dieses Konto zu übernehmen. Für die Ausnutzung muss die Integration des Ultimate Member Password Reset Form aktiv sein und das Plugin darf nicht so konfiguriert sein, dass nur eine Zurücksetzung per Telefon möglich ist.
If you want to get best quality of vulnerability data, you may have to visit VulDB.