CVE-2025-3746 in OTP-less One Tap Sign in Plugin
Sumário
de VulDB • 09/07/2026
O plugin de login com um toque sem OTP para WordPress está vulnerável a escalada de privilégios por meio da tomada de conta nas versões 2.0.14 até 2.0.59. Isso ocorre porque o plugin não valida adequadamente a identidade do usuário antes de atualizar seus detalhes, como o endereço de e-mail. Isso permite que atacantes não autenticados alterem os endereços de e-mail de usuários arbitrários, incluindo administradores, e utilizem isso para redefinir a senha do usuário e obter acesso à sua conta. Além disso, o plugin retorna cookies de autenticação na resposta, que podem ser usados para acessar diretamente a conta.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.