Publicações

CVE-2025-13587: Bypass de autenticação de dois fatores no Two Factor via Email

Um problema em um plugin 2FA para WordPress em que o tratamento do token podia permitir pular o segundo fator por email.

CVE-2025-13587 é um bypass de autenticação de dois fatores no plugin Two Factor (2FA) Authentication via Email para WordPress.

O aviso público diz que o bug afetava as versões até 1.9.8 inclusive. O problema estava em SS88_2FAVE::wp_login(): o plugin só aplicava a exigência de 2FA quando o parâmetro HTTP GET token estava indefinido. Enviar qualquer valor para token, inclusive um valor vazio, podia impedir que a exigência do segundo fator fosse aplicada.

Card de resumo do CVE-2025-13587 mostrando produto afetado, impacto e pontuação CVSS
CVE-2025-13587 afetava o Two Factor (2FA) Authentication via Email até a versão 1.9.8 inclusive. Em junho de 2026, o WordPress.org lista o plugin com mais de 9.000 instalações ativas.

O bug

Esse achado era mais sobre fluxo de controle do que criptografia. O token 2FA em si não precisava ser quebrado. O problema era que um parâmetro da requisição influenciava se o plugin aplicava ou não o segundo passo.

O vetor CVSS inclui PR:L, e isso importa: não era um bypass de login sem credenciais. O atacante ainda precisava de credenciais primárias válidas para a conta alvo. O bug enfraquecia o segundo fator, não a verificação da senha.

Por que importava

Plugins 2FA são controles de segurança. Quando o dono de um site instala um, ele está confiando explicitamente nele para impedir que o comprometimento de uma senha vire comprometimento de conta.

Isso faz com que bypasses nessa área mereçam tratamento sério, mesmo quando não concedem acesso não autenticado imediatamente. Se uma senha obtida por phishing ou reutilização leva o atacante além do primeiro passo, o segundo passo deveria ser o ponto em que o ataque para.

Correção

O changelog do plugin lista 1.9.9 como uma correção de segurança para CVE-2025-13587. Donos de sites devem atualizar para a versão 1.9.9 ou mais nova.

Referências