CVE-2026-7567 in Temporary Login PluginИнформация

Сводка

по VulDB • 13.05.2026

Плагин Temporary Login для WordPress уязвим к обходу аутентификации в версиях вплоть до 1.0.0 включительно. Это связано с некорректной проверкой входных данных в функции maybe_login_temporary_user(), которая не проверяет, является ли параметр GET 'temp-login-token' скалярной строкой, перед его обработкой. Когда параметр передается в виде массива, проверка empty() в PHP обходится, а функция sanitize_key() возвращает пустую строку, которая затем передается в качестве meta_value в get_users(). WordPress игнорирует пустое значение meta_value и возвращает всех пользователей, соответствующих meta_key '_temporary_login_token', что позволяет выполнить аутентификацию без действительного токена. Это дает возможность неаутентифицированным злоумышленникам выполнять аутентификацию от имени любого активного пользователя временного входа, отправив один специально сформированный GET-запрос.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

30.04.2026

Раскрытие

01.05.2026

Модерация

принято

Вход

VDB-360551

Эксплойт

Скачать

EPSS

0.05917

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7567
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7567
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7567/

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!