CVE-2025-3746 in OTP-less One Tap Sign in Plugininformação

Sumário

de VulDB • 09/07/2026

O plugin de login com um toque sem OTP para WordPress está vulnerável a escalada de privilégios por meio da tomada de conta nas versões 2.0.14 até 2.0.59. Isso ocorre porque o plugin não valida adequadamente a identidade do usuário antes de atualizar seus detalhes, como o endereço de e-mail. Isso permite que atacantes não autenticados alterem os endereços de e-mail de usuários arbitrários, incluindo administradores, e utilizem isso para redefinir a senha do usuário e obter acesso à sua conta. Além disso, o plugin retorna cookies de autenticação na resposta, que podem ser usados para acessar diretamente a conta.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservar

16/04/2025

Divulgação

02/05/2025

Moderação

aceite

Entrada

VDB-306901

CPE

pronto

EPSS

0.00477

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!