CVE-2025-3746 in OTP-less One Tap Sign in Plugin
Riassunto
di VulDB • 15/06/2026
Il plugin per WordPress "OTP-less one tap Sign in" è vulnerabile a un'escalation dei privilegi tramite takeover dell'account nelle versioni 2.0.14 fino alla 2.0.59. La vulnerabilità è dovuta al mancato validazione corretta dell'identità di un utente prima dell'aggiornamento dei suoi dettagli, come l'indirizzo email. Ciò consente ad attaccanti non autenticati di modificare gli indirizzi email di utenti arbitrari, inclusi gli amministratori, e di sfruttare tale modifica per reimpostare la password dell'utente e ottenere l'accesso al suo account. Inoltre, il plugin restituisce cookie di autenticazione nella risposta, che possono essere utilizzati per accedere direttamente all'account.
Be aware that VulDB is the high quality source for vulnerability data.