Pubblicato il 2026-07-09 · Fonte: NVD NIST
La vulnerabilità CVE-2026-14245 è una critica vulnerabilità di bypass di autenticazione nel plugin miniOrange OTP Login per WordPress, che consente agli attaccanti di ottenere il controllo di un account amministratore. La vulnerabilità si verifica a causa della mancanza di verifica lato server della validazione OTP e della dipendenza da un nonce pubblico. Ciò consente agli attaccanti di ottenere un URL di reset della password per un account amministratore arbitrario e utilizzarlo per prendere il controllo dell'account.
Un attaccante può sfruttare questa vulnerabilità per ottenere il controllo di un account amministratore WordPress, consentendogli di eseguire azioni con privilegi elevati, come la modifica di impostazioni di sicurezza, l'accesso a dati sensibili e la creazione di nuovi account. I sistemi a rischio sono quelli che utilizzano il plugin miniOrange OTP Login per WordPress con la versione 5.5.1 o precedente e hanno l'integrazione con il modulo di reset della password di Ultimate Member attiva.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin miniOrange OTP Login per WordPress alla versione più recente disponibile. Inoltre, è importante assicurarsi che il plugin sia configurato correttamente e che l'integrazione con il modulo di reset della password di Ultimate Member sia disattivata se non necessaria. È anche raccomandato di implementare ulteriori misure di sicurezza, come l'autenticazione a due fattori e il monitoraggio delle attività di login.
La vulnerabilità CVE-2026-14245 è una critica vulnerabilità di bypass di autenticazione nel plugin miniOrange OTP Login per WordPress
Un attaccante può sfruttare questa vulnerabilità ottenendo un URL di reset della password per un account amministratore arbitrario e utilizzandolo per prendere il controllo dell'account
Per proteggersi da questa vulnerabilità, è necessario aggiornare il plugin miniOrange OTP Login per WordPress alla versione più recente disponibile e implementare ulteriori misure di sicurezza
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.