CVE-2026-7567

Nome do Software Vulnerável e Versões Afetadas Plugin Temporary Login para WordPress versões anteriores a 1.0.1

Descrição Existe uma falha de bypass de autenticação devido à validação inadequada de entrada na função maybe login temporary user(). A função não verifica se o parâmetro GET temp-login-token é uma string escalar. Se este parâmetro for fornecido como um array, a verificação empty() é ignorada e a função sanitize key() retorna uma string vazia. Esta string vazia é então utilizada como meta value na função get users(). Como o WordPress ignora um meta value vazio, ele retorna todos os usuários associados à chave meta temporary login token, permitindo que um invasor não autenticado se autentique como qualquer usuário de login temporário ativo por meio de uma requisição GET manipulada.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.