CVE-2026-8903 in Two-factor authentication Plugininfo

Zusammenfassung

von VulDB • 27.05.2026

Das WordPress-Plugin Two-factor authentication (ehemals IP Vault) ist in allen Versionen bis einschließlich 2.1 anfällig für Cross-Site Request Forgery (CSRF). Dies ist auf eine fehlende oder fehlerhafte Nonce-Validierung in der Funktion ipv_save_changes zurückzuführen. Dies ermöglicht es nicht authentifizierten Angreifern, die Firewall- und Two-Factor-Authentication-Einstellungen des Plugins – einschließlich des Betriebsmodus, der Regeln zum Ein- und Ausschließen von Anfragen, des Authentifizierungsschlüssels (Authentication Slug) und der Protokollaufbewahrungsdauer – zu ändern, wodurch der Schutz möglicherweise vollständig durch eine gefälschte Anfrage deaktiviert wird, sofern es ihnen gelingt, einen Website-Administrator dazu zu bringen, eine Aktion wie das Klicken auf einen Link auszuführen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

18.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365907

CPE

bereit

EPSS

0.00023

KEV

nein

Aktivitäten

low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8903
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8903
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8903/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!