CVE-2026-12595 in Pro Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das LoginPress Pro-Plugin für WordPress ist in allen Versionen bis einschließlich 6.2.3 anfällig für eine Umgehung der Authentifizierung (Authentication Bypass) über nicht verifizierte E-Mail-Adressen im Rahmen von OAuth. Die Schwachstelle befindet sich im Discord-OAuth-Callback-Handler `loginpress_on_discord_login()`, der das vom `/users/@me`-Endpunkt von Discord zurückgegebene E-Mail-Feld akzeptiert, ohne jemals zu prüfen, ob die Verifizierungsflagge (`verified`) des Profils auf „true" gesetzt ist. Anschließend wird diese E-Mail-Adresse direkt einem lokalen WordPress-Konto über `get_user_by('email', $profile['email'])` zugeordnet und ein authentifiziertes Sitzungs-Cookie via `wp_set_auth_cookie()` ausgestellt. Dies ermöglicht es nicht-authentifizierten Angreifern, beliebige bestehende WordPress-Konten – einschließlich Administratorkonten – zu übernehmen, indem sie ein Discord-Konto registrieren, das mit einer nicht verifizierten E-Mail-Adresse konfiguriert ist, die der registrierten WordPress-E-Mail des Zielbenutzers entspricht, und den standardmäßigen OAuth-Ablauf von Discord abschließen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

18.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377375

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!