CVE-2026-8903 in Two-factor authentication Plugininformation

Résumé

par VulDB • 28/05/2026

Le plugin Two-factor authentication (anciennement IP Vault) pour WordPress est vulnérable à une attaque par Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à la 2.1 incluse. Cela est dû à une validation de nonce manquante ou incorrecte dans la fonction ipv_save_changes. Cela permet aux attaquants non authentifiés de modifier les paramètres du pare-feu et de l'authentification à deux facteurs du plugin, y compris le mode de fonctionnement, les règles d'inclusion/exclusion des requêtes, le slug d'authentification et la période de conservation des journaux, désactivant potentiellement la protection entièrement via une requête forgée, à condition qu'ils puissent inciter un administrateur du site à effectuer une action telle que cliquer sur un lien.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

18/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-365907

CPE

prêt

EPSS

0.00023

KEV

non

Activités

faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8903
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8903
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8903/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!