CVE-2025-3746 in OTP-less One Tap Sign in Plugininformazioni

Riassunto

di VulDB • 15/06/2026

Il plugin per WordPress "OTP-less one tap Sign in" è vulnerabile a un'escalation dei privilegi tramite takeover dell'account nelle versioni 2.0.14 fino alla 2.0.59. La vulnerabilità è dovuta al mancato validazione corretta dell'identità di un utente prima dell'aggiornamento dei suoi dettagli, come l'indirizzo email. Ciò consente ad attaccanti non autenticati di modificare gli indirizzi email di utenti arbitrari, inclusi gli amministratori, e di sfruttare tale modifica per reimpostare la password dell'utente e ottenere l'accesso al suo account. Inoltre, il plugin restituisce cookie di autenticazione nella risposta, che possono essere utilizzati per accedere direttamente all'account.

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

16/04/2025

Divulgazione

02/05/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00477

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!