Résumé
Le 27 mai 2026, une faille de sécurité a été identifiée dans le plugin Login with OTP pour WordPress. Elle permet à un attaquant non authentifié de deviner le code de connexion à force d’essais, puis de se connecter à un compte sans connaître le mot de passe. Le problème peut donner accès à n’importe quel compte, y compris celui d’un administrateur, et conduire à la compromission complète du site. Référencée sous CVE-2026-8760, cette vulnérabilité est de type contournement d’authentification.
Solutions
Il est recommandé d’appliquer les correctifs indiqués par le fournisseur.
La faille est activement exploitée : oui
Details techniques
Score CVSS : 9.8/10 (CRITICAL)
EPSS : 0.25%
Documentation
NIST NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-8760
CVE Details : https://www.cvedetails.com/cve/CVE-2026-8760/
Référence CVE : https://www.cve.org/CVERecord?id=CVE-2026-8760
CWE : https://www.cvedetails.com/cwe-details/CWE-307/