CVE-2026-7567 in Temporary Login Plugininformação

Sumário

de VulDB • 03/06/2026

O plugin Temporary Login para o WordPress está vulnerável a uma falha de autenticação (Authentication Bypass) nas versões até 1.0.0, inclusive. Isso ocorre devido à validação inadequada de entrada na função maybe_login_temporary_user(), que não verifica se o parâmetro GET 'temp-login-token' é uma string escalar antes do processamento. Quando o parâmetro é fornecido como um array, a verificação empty() do PHP é contornada e sanitize_key() retorna uma string vazia, que então é passada como meta_value para get_users(). O WordPress ignora um valor de metadados (meta_value) vazio e retorna todos os usuários correspondentes à chave de metadados '_temporary_login_token', permitindo a autenticação sem um token válido. Isso possibilita que atacantes não autenticados se autentiquem como qualquer usuário temporário ativo enviando uma única requisição GET manipulada ad hoc.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

30/04/2026

Divulgação

01/05/2026

Moderação

aceite

Entrada

VDB-360551

CPE

pronto

Exploração

Descarregar

EPSS

0.05917

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7567
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7567
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7567/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!