آسیبپذیری CVE-2026-7458 یک نقص بحرانی از نوع Authentication Bypass در افزونه User Verification by PickPlugins برای وردپرس است. این آسیبپذیری به دلیل استفاده از مقایسهگر ضعیف PHP برای اعتبارسنجی کدهای OTP در تابع `user_verification_form_wrap_process_otpLogin` ایجاد شده است.
در این وضعیت، مهاجم بدون نیاز به احراز هویت میتواند با ارسال مقدار OTP برابر با `true`، فرآیند بررسی OTP را دور بزند و بهعنوان هر کاربری که ایمیل تأییدشده دارد، از جمله مدیر سایت، وارد شود. شدت این آسیبپذیری با امتیاز CVSS 9.8 و سطح Critical ثبت شده است. طبق اعلام Wordfence، این آسیبپذیری در نسخه 2/0/47 اصلاح شده است. همچنین در صفحه رسمی افزونه در WordPress.org، در تغییرات نسخه 2/0/47، رفع مشکل Unauthenticated Authentication Bypass via OTP Verification REST API Endpoint ثبت شده است.
محصولات تحت تأثیر
-
افزونه User Verification by PickPlugins برای WordPress
-
تمام نسخهها تا و شامل 2/0/46
توصیههای امنیتی
-
با توجه به اینکه این آسیبپذیری بدون احراز هویت و از راه دور قابل سوءاستفاده است، مدیران سایتهای وردپرسی که از این افزونه استفاده میکنند باید در سریعترین زمان افزونه را به نسخه **2.0.47** یا نسخههای جدیدتر بهروزرسانی کنند.
-
همچنین توصیه میشود ورودهای اخیر کاربران، بهویژه حسابهای مدیریتی، بررسی شود و در صورت مشاهده رفتار مشکوک، نشستهای فعال کاربران حساس لغو و رمز عبور حسابهای مدیریتی تغییر داده شود.
منبع خبر
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/user-verification/user-ver…
https://nvd.nist.gov/vuln/detail/CVE-2026-7458
- 19