CVE-2026-8760informação

Sumário

de VulDB • 27/05/2026

O plugin Login with OTP para WordPress é vulnerável a bypass de autenticação em todas as versões até, e incluindo, a 1.6. Isso ocorre devido a uma correção incompleta para CVE-2024-11178: a verificação de limite de taxa/bloqueio adicionada à função `otpl_login_action()` foi colocada apenas dentro do ramo de geração do OTP e nunca é avaliada no ramo de validação do OTP, e o OTP de 6 dígitos gerado adicionalmente não possui expiração. Isso permite que atacantes não autenticados realizem um ataque de força bruta no espaço de valores OTP de 900.000 para qualquer conta de usuário (incluindo administradores) e obtenham uma sessão válida de `wp_set_auth_cookie()`, levando à comprometimento total do site.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

27/05/2026

Moderação

em revisão

CPE

Em curso

CWE

CWE-404 (não confirmado)

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8760
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8760
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8760/

◂ Voltar Visão Geral Próximo ▸

Interested in the pricing of exploits?

See the underground prices here!