PT-2025-51469 · WordPress · Wpcom Member
Wesley
·
Publicado
2025-12-16
·
Atualizado
2025-12-18
·
CVE-2025-14002
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin WPCOM Member para WordPress em versões anteriores à 1.7.17
Descrição
O software é suscetível a contorno de autenticação por meio de ataques de força bruta. Isso é causado por um processo fraco de geração de Senha de Uso Único (OTP), que utiliza apenas seis dígitos numéricos com um período de validade de dez minutos e ausência de limitação de taxa nas tentativas de verificação. Um atacante que conheça o número de telefone do alvo pode potencialmente contornar a autenticação como qualquer usuário, incluindo administradores, caso o alvo não perceba prontamente ou ignore a notificação SMS contendo o OTP.
Recomendações
Atualize o plugin WPCOM Member para a versão 1.7.17 ou posterior.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpcom Member