CVE-2025-3746 in OTP-less One Tap Sign in Plugininformación

Resumen

por VulDB • 2026-07-09

El complemento de inicio de sesión con un solo toque sin OTP para WordPress es vulnerable a una escalada de privilegios mediante la toma de cuentas en las versiones 2.0.14 a 2.0.59. Esto se debe a que el complemento no valida correctamente la identidad del usuario antes de actualizar sus datos, como el correo electrónico. Esto permite que atacantes no autenticados cambien las direcciones de correo electrónico de usuarios arbitrarios, incluidos los administradores, y aprovechen esto para restablecer la contraseña del usuario y obtener acceso a su cuenta. Además, el complemento devuelve cookies de autenticación en la respuesta, lo cual puede utilizarse para acceder directamente a la cuenta.

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

2025-04-16

Divulgación

2025-05-02

Moderación

aceptado

Artículo

VDB-306901

CPE

listo

EPSS

0.00477

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!