漏洞速览
- 漏洞编号:
CVE-2026-14245 - 风险评分:
9.8(严重) - 首次披露:2026-07-08
- 最近更新:2026-07-08
- 软件类型:插件
- 软件标识:
miniorange-otp-verification - 受影响版本:<= 5.5.1
- 修复版本:5.5.2
- 是否已修复:是
漏洞详情
WordPress 的 miniOrange OTP Login、Verification and SMS Notifications 插件在 5.5.1 及之前所有版本中存在身份验证绕过漏洞,可导致管理员账户被完全接管。问题出在 umresetpasswordprocesshook() 函数没有对 OTP 验证环节进行服务端校验,仅依赖插件通过 moumprvar JavaScript 对象在 Ultimate Member 密码重置页面向未登录访客公开的 formnonce 随机数,同时还会接受攻击者可控的 usernameb 参数来指定任意 WordPress 用户,既无角色限制,也无需绑定到任何已验证的 OTP 会话。借助这一缺陷,未授权攻击者可以为任意管理员账户获取新生成的密码重置链接(通过 302 Location 头返回),并利用该链接完全接管目标账户。利用该漏洞的前提条件是:Ultimate Member 密码重置表单集成已启用,且插件未配置为仅限手机验证。
影响与风险
- 漏洞类型:Authentication Bypass to Administrator Account Takeover via 'username_b' Parameter
- 风险说明:漏洞可被用于账户接管,攻击者可能绕过正常认证流程获取用户会话。
- 研究人员:Khaled Alenazi (Nxploited)
修复建议
- 按官方建议执行修复:更新至 5.5.2 或更高已修复版本。
- 复核
administrator/shop manager等高权限账号与角色授权。 - 排查近期插件安装/配置变更记录,确认无异常写入。
- 建议配合 WAF 与登录审计,持续观察可疑请求。
