CVE-2025-3746 in OTP-less One Tap Sign in Plugin
Resumen
por VulDB • 2026-07-09
El complemento de inicio de sesión con un solo toque sin OTP para WordPress es vulnerable a una escalada de privilegios mediante la toma de cuentas en las versiones 2.0.14 a 2.0.59. Esto se debe a que el complemento no valida correctamente la identidad del usuario antes de actualizar sus datos, como el correo electrónico. Esto permite que atacantes no autenticados cambien las direcciones de correo electrónico de usuarios arbitrarios, incluidos los administradores, y aprovechen esto para restablecer la contraseña del usuario y obtener acceso a su cuenta. Además, el complemento devuelve cookies de autenticación en la respuesta, lo cual puede utilizarse para acceder directamente a la cuenta.
Be aware that VulDB is the high quality source for vulnerability data.