CVE-2026-7567 in Temporary Login Plugininfo

Zusammenfassung

von VulDB • 12.05.2026

Das WordPress-Plugin „Temporary Login“ ist in den Versionen bis einschließlich 1.0.0 anfällig für eine Umgehung der Authentifizierung (Authentication Bypass). Dies ist auf eine fehlerhafte Eingabevalidierung in der Funktion `maybe_login_temporary_user()` zurückzuführen, die nicht überprüft, ob der GET-Parameter `temp-login-token` ein skalärer String ist, bevor er verarbeitet wird. Wenn der Parameter als Array übergeben wird, wird die `empty()`-Prüfung von PHP umgangen, und `sanitize_key()` gibt eine leere Zeichenkette zurück, die anschließend als `meta_value` an `get_users()` übergeben wird. WordPress ignoriert einen leeren `meta_value` und gibt alle Benutzer zurück, die mit dem `meta_key` `_temporary_login_token` übereinstimmen, wodurch eine Authentifizierung ohne gültiges Token ermöglicht wird. Dies ermöglicht es nicht authentifizierten Angreifern, sich als jeder aktive temporäre Login-Benutzer zu authentifizieren, indem sie eine einzelne, speziell angefertigte GET-Anfrage senden.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

30.04.2026

Veröffentlichung

01.05.2026

Moderieren

akzeptiert

Eintrag

VDB-360551

CPE

bereit

Exploit

Download

EPSS

0.05917

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7567
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7567
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7567/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!