CRITICAL🇬🇧 English

CVE-2026-8760

Authentication bypass w pluginie Login with OTP dla WordPress (brute-force OTP)

CVSS 9.8v3.1pub. 2026-05-27

Plugin Login with OTP dla WordPress w wersjach do 1.6 włącznie zawiera podatność umożliwiającą ominięcie uwierzytelnienia poprzez brute-force jednorazowego kodu OTP. Luka stanowi niekompletną naprawę wcześniejszej podatności CVE-2024-11178 i może prowadzić do pełnego przejęcia kontroli nad stroną.

Pokaż oryginał (EN)

The Login with OTP plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.6. This is due to an incomplete fix for CVE-2024-11178: the rate-limit/lockout check added to `otpl_login_action()` was placed only inside the OTP-generation branch and is never evaluated on the OTP-validation branch, and the generated 6-digit OTP additionally has no expiration. This makes it possible for unauthenticated attackers to brute-force the 900,000-value OTP space for any user account (including administrators) and obtain a valid `wp_set_auth_cookie()` session, leading to full site compromise.

🤖 Analiza AI
Jak działa

Mechanizm ograniczający liczbę prób (rate-limit/lockout) został dodany wyłącznie w gałęzi odpowiedzialnej za generowanie kodu OTP w funkcji `otpl_login_action()`, natomiast nigdy nie jest sprawdzany w gałęzi walidacji kodu OTP. Dodatkowo wygenerowany 6-cyfrowy kod OTP nie posiada żadnego czasu wygaśnięcia, co pozostawia przestrzeń 900 000 możliwych wartości otwartą na nieograniczone próby zgadywania. Nieuwierzytelniony atakujący może w pełni zautomatyzować atak brute-force na kod OTP dowolnego konta użytkownika, w tym administratora. Po odgadnięciu prawidłowego kodu plugin wywołuje `wp_set_auth_cookie()`, przyznając atakującemu ważną sesję uwierzytelnioną.

Skutki

Atakujący bez żadnych uprawnień może przejąć konto dowolnego użytkownika WordPress, łącznie z kontem administratora, uzyskując pełną kontrolę nad stroną, jej danymi i infrastrukturą.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — zaktualizować plugin Login with OTP do wersji wyższej niż 1.6, w której poprawka rate-limitingu obejmuje również gałąź walidacji OTP oraz wprowadzono wygasanie kodów OTP.

Kogo dotyczy

Plugin Login with OTP dla WordPress we wszystkich wersjach do 1.6 włącznie.

Uwagi

Podatność jest niekompletną naprawą wcześniejszej luki CVE-2024-11178 dotyczącej tego samego pluginu i mechanizmu uwierzytelnienia OTP.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje