CVE-2026-12595 in Pro Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das LoginPress Pro-Plugin für WordPress ist in allen Versionen bis einschließlich 6.2.3 anfällig für eine Umgehung der Authentifizierung (Authentication Bypass) über nicht verifizierte E-Mail-Adressen im Rahmen von OAuth. Die Schwachstelle befindet sich im Discord-OAuth-Callback-Handler `loginpress_on_discord_login()`, der das vom `/users/@me`-Endpunkt von Discord zurückgegebene E-Mail-Feld akzeptiert, ohne jemals zu prüfen, ob die Verifizierungsflagge (`verified`) des Profils auf „true" gesetzt ist. Anschließend wird diese E-Mail-Adresse direkt einem lokalen WordPress-Konto über `get_user_by('email', $profile['email'])` zugeordnet und ein authentifiziertes Sitzungs-Cookie via `wp_set_auth_cookie()` ausgestellt. Dies ermöglicht es nicht-authentifizierten Angreifern, beliebige bestehende WordPress-Konten – einschließlich Administratorkonten – zu übernehmen, indem sie ein Discord-Konto registrieren, das mit einer nicht verifizierten E-Mail-Adresse konfiguriert ist, die der registrierten WordPress-E-Mail des Zielbenutzers entspricht, und den standardmäßigen OAuth-Ablauf von Discord abschließen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.