CVE-2026-8903 in Two-factor authentication Plugin
Tóm tắt
Bởi VulDB • 27/05/2026
Plugin Two-factor authentication (trước đây là IP Vault) cho WordPress dễ bị tấn công Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 2.1 trở về trước. Lỗi này xảy ra do việc xác thực nonce (nonce validation) bị thiếu hoặc không chính xác trong hàm ipv_save_changes. Điều này cho phép các kẻ tấn công chưa được xác thực (unauthenticated) thay đổi các cài đặt tường lửa và xác thực hai yếu tố của plugin — bao gồm chế độ hoạt động, quy tắc bao gồm/loại trừ yêu cầu, slug xác thực và thời gian lưu trữ nhật ký — với nguy cơ vô hiệu hóa hoàn toàn cơ chế bảo vệ thông qua một yêu cầu giả mạo, miễn là chúng có thể lừa một quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.