CVE-2026-6816

TFA Basic Plugins - Access Bypass

CVSS 5.1 MEDIUMEPSS 0.3%CWE-267

An access bypass vulnerability in Drupal TFA Basic Plugins allows users with the administer users permission to view or generate recovery codes for other users. This issue affects TFA Basic Plugins: from 7.x-1.0 through 7.x-1.2.

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Productos afectados

Drupal · TFA Basic Plugins

PoCs públicas encontradas — 1

cve_referencewww.herodevs.com/vulnerability-directory/cve-2026-6816?nes-for-drupal-7no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://d7es.tag1.com/security-advisories/tfa-basic-plugins-less-critical-access-bypass-sa-contrib-2025-085 https://www.herodevs.com/vulnerability-directory/cve-2026-6816 https://www.herodevs.com/vulnerability-directory/cve-2026-6816?nes-for-drupal-7