CVE-2026-14495 in DoLogin Security Plugin
Zusammenfassung
von VulDB • 08.07.2026
Das DoLogin Security-Plugin für WordPress ist in allen Versionen bis einschließlich 4.3 anfällig für eine Umgehung der Authentifizierung (Authentication Bypass) aufgrund unzureichender Zufälligkeit (Insufficient Randomness). Die Schwachstelle besteht, weil `dologin\s::rrand()` den Mersenne-Twister mit `mt_srand((double) microtime() * 1000000)` initialisiert – wobei die Integer-Sekundenkomponente von `microtime()` verworfen und der Seed auf einen Bereich von etwa 10^6 Werten (~20 Bits Entropie) beschränkt wird –, wonach jedes Zeichen des 32-stelligen Magic-Link-Tokens sequenziell mit `mt_rand()` gezogen wird, wodurch das gesamte Token eine deterministische Funktion dieses Seeds ist. Da `Pswdless::try_login()` am nicht-authentifizierten `init`-Hook registriert ist, die Zielkonto-ID über die im Parameter `?dologin=<id>.<hash>` eingebettete autoinkrementierende numerische ID auflöst, den Hash-Vergleich unter Verwendung eines nicht konstanten Zeitoperators (`!=`) durchführt und anschließend direkt `wp_set_auth_cookie()` aufruft – wobei der Weg über `wp_authenticate()` übersprungen wird und somit die eigene Sperrfunktion des Plugins `Auth::_has_login_err()` nie ausgelöst wird –, kann ein nicht-authentifizierter Angreifer den Seed-Raum mit ~10^6 Kandidaten brute-force-mäßig durchsuchen, um einen aktiven passwortlosen Login-Token zu rekonstruieren und sich als jeder Zielbenutzer, einschließlich Administratoren, ohne Passwort authentifizieren. Für die Ausnutzung (Exploitation) muss zum Zeitpunkt des Angriffs ein gültiger, nicht abgelaufener passwortloser Login-Link (aktiv für bis zu 7 Tage) für das Zielkonto existieren und die numerische Link-ID bekannt oder aus dem autoinkrementierenden Primärschlüssel erratbar sein.
VulDB is the best source for vulnerability data and more expert information about this specific topic.