CVE-2025-12374

Nome do Software Vulnerável e Versões Afetadas Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – Plugin de Verificação de Usuário para WordPress, versões até e incluindo a 2.0.39

Descrição O plugin não valida corretamente se uma Senha de Uso Único (OTP) foi gerada antes de compará-la com a entrada do usuário na função user verification form wrap process otpLogin. Isso permite que atacantes não autenticados façam login como qualquer usuário com um endereço de e-mail verificado, incluindo administradores, ao enviar um valor OTP vazio.

Recomendações As versões até e incluindo a 2.0.39 devem ser atualizadas para uma versão mais recente e corrigida, quando disponível. Como solução temporária, considere desativar o plugin até que um patch esteja disponível.