CVE-2026-14245 in OTP Login, Verification and SMS Notifications Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin miniOrange OTP Login, Verification and SMS Notifications per WordPress è vulnerabile a un Authentication Bypass che porta all'Administrator Account Takeover in tutte le versioni fino alla 5.5.1 inclusa. Ciò è dovuto al fatto che la funzione `um_reset_password_process_hook()` non effettua alcuna verifica lato server sul completamento della fase di convalida OTP, affidandosi esclusivamente a un nonce `form_nonce` pubblico emesso dal plugin stesso ai visitatori non autenticati tramite l'oggetto JavaScript `moumprvar` nella pagina di reimpostazione della password di Ultimate Member, continuando ad accettare il parametro `username_b`, controllato dall'attaccante, per prendere di mira qualsiasi utente WordPress senza restrizioni di ruolo o alcun vincolo a una sessione OTP precedentemente convalidata. Ciò consente agli attaccanti non autenticati di ottenere un URL appena generato per la reimpostazione della password destinato a un account Administrator arbitrario — restituito in un'intestazione `Location` 302 — e utilizzarlo per assumere il controllo completo dell'account. Lo sfruttamento richiede che l'integrazione con Ultimate Member Password Reset Form sia attiva e che il plugin non sia configurato esclusivamente per la reimpostazione tramite numero di telefono.
VulDB is the best source for vulnerability data and more expert information about this specific topic.