CVE-2026-7567 in Temporary Login Plugininformación

Resumen

por VulDB • 2026-06-03

El plugin Temporary Login para WordPress es vulnerable a una elusión de autenticación en las versiones anteriores e iguales a 1.0.0. Esto se debe a una validación incorrecta de la entrada en la función `maybe_login_temporary_user()`, que no verifica que el parámetro GET 'temp-login-token' sea una cadena escalar antes de procesarlo. Cuando el parámetro se proporciona como un array, se evita la comprobación `empty()` de PHP y `sanitize_key()` devuelve una cadena vacía, que luego se pasa como `meta_value` a `get_users()`. WordPress ignora un valor meta vacío y devuelve todos los usuarios que coinciden con la clave meta '_temporary_login_token', lo que permite la autenticación sin necesidad de un token válido. Esto hace posible que atacantes no autenticados puedan autenticarse como cualquier usuario de inicio de sesión temporal activo enviando una única solicitud GET manipulada ad hoc.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-30

Divulgación

2026-05-01

Moderación

aceptado

Artículo

VDB-360551

CPE

listo

Explotación

Descargar

EPSS

0.05917

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7567
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7567
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7567/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!