CVE-2026-12595 in Pro Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون ووردبريس (WordPress) الإضافي LoginPress Pro على ثغرة تسمح بتجاوز المصادقة عبر البريد الإلكتروني غير المُتحقق منه باستخدام OAuth في جميع الإصدارات حتى 6.2.3 وشاملةً لها. توجد الثغرة في معالج استدعاء Discord OAuth الخاص بـ `loginpress_on_discord_login()`، الذي يقبل حقل البريد الإلكتروني المعاد من نقطة نهاية `/users/@me` الخاصة بـ Discord دون التحقق مطلقاً مما إذا كانت علامة "مُتحقق" (verified flag) للملف الشخصي تساوي صحيحاً، ثم يقوم بمطابقة هذا البريد الإلكتروني مباشرةً مع حساب ووردبريس المحلي عبر الدالة `get_user_by('email', $profile['email'])` ويصدر ملف تعريف ارتباط لمصادقة الجلسة (`authenticated session cookie`) باستخدام `wp_set_auth_cookie()`. وهذا يتيح للمهاجمين غير المصادق عليهم الاستيلاء على أي حساب موجود في ووردبريس — بما في ذلك الحسابات الإدارية — من خلال تسجيل حساب Discord مُهيأ ببريد إلكتروني غير مُتحقق منه يطابق البريد الإلكتروني المسجل للحساب المستهدف في ووردبريس، وإكمال تدفق OAuth القياسي الخاص بـ Discord.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

Wordfence

حجز

18/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377375

EPSS

0.00347

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!