🔴 《严重安全漏洞:CVE-2026-14245》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-09


漏洞简介

CVE-2026-14245 是一个存在于 WordPress 插件 miniOrange OTP Login, Verification and SMS Notifications 中的严重安全漏洞。该漏洞源于插件在处理密码重置流程时,未能对 OTP(一次性密码)验证步骤进行服务器端校验,导致攻击者可以绕过身份验证,直接接管管理员账户。

具体来说,漏洞出现在 um_reset_password_process_hook() 函数中。该函数在 Ultimate Member 密码重置页面中,完全依赖一个由插件自身生成并公开暴露给未认证用户的 form_nonce(通过 moumprvar JavaScript 对象传递),而没有在服务器端验证 OTP 验证步骤是否真正完成。同时,该函数接受攻击者可控的 username_b 参数,且未对目标用户角色进行任何限制,也未与之前验证过的 OTP 会话进行绑定。

攻击者可以利用这一缺陷,构造恶意请求,直接获取一个针对任意 WordPress 管理员账户的、新生成的密码重置 URL(该 URL 会通过 HTTP 302 重定向的 Location 头部返回),从而完全控制该管理员账户。

该漏洞的 CWE 分类为 CWE-862(Missing Authorization,缺少授权),CVSS 3.1 评分为 9.8(严重),攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需任何权限(PR:N),无需用户交互(UI:N),影响范围不改变(S:U),对机密性、完整性和可用性均造成高影响(C:H/I:H/A:H)。

影响范围

  • 受影响插件:miniOrange OTP Login, Verification and SMS Notifications
  • 受影响版本:所有版本,包括 5.5.1 及之前的版本
  • 利用条件
    • 必须启用 Ultimate Member Password Reset Form 集成功能。
    • 插件不能配置为仅限手机号重置(phone-only reset)模式。

风险分析

  • 攻击后果:未认证的远程攻击者可以完全接管任意 WordPress 管理员账户,包括超级管理员账户。一旦成功,攻击者可以:
    • 修改网站配置、安装恶意插件或主题。
    • 窃取用户数据、数据库信息。
    • 将网站用于钓鱼、分发恶意软件等非法活动。
    • 完全控制网站服务器(如果存在进一步提权漏洞)。
  • 漏洞利用难度:低。攻击者无需任何身份认证,只需发送精心构造的 HTTP 请求即可触发漏洞。
  • 实际威胁:极高。由于该插件广泛用于 WordPress 站点的 OTP 登录和验证,且漏洞利用条件容易满足(只需启用 Ultimate Member 集成),可能导致大量网站面临被完全控制的风险。建议所有使用该插件的用户立即升级到已修复版本(5.5.1 之后)。

🔍 技术细节

字段
CVE ID CVE-2026-14245
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-862
发布时间 2026-07-09
最后更新 2026-07-09
状态 Received
数据来源 security@wordfence.com

🔗 参考链接