CVE-2026-12761 in miniOrange Social Login and Register Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) ist in Versionen bis einschließlich 7.7.0 anfällig für eine Umgehung der Authentifizierung, die zu einer Übernahme von Konten führt. Dies liegt daran, dass der Flow zur Profilvervollständigung eine beliebige E-Mail-Adresse über den POST-Parameter 'email_field' akzeptiert, ohne zu überprüfen, ob diese E-Mail-Adresse tatsächlich dem vom OAuth-Anbieter zurückgegebenen Identitätsnachweis gehört. Zudem gibt die Funktion send_otp_token() den SHA-512(customer_key || otp)-Transaktionshash an den Client zurück, wobei der OTP-Raum nur 99.000 Werte umfasst (wp_rand(1000, 99999)) und der customer_key eine statische Option ist (bei nicht registrierten Installationen leer). Dies ermöglicht es unauthentifizierten Angreifern, eine E-Mail mit einem One-Time-Passwort (OTP) an die Adresse eines beliebigen Administrators auszulösen, das OTP offline unter Verwendung des geleakten Hashes in weniger als einer Sekunde zu knacken und das geknackte OTP an mo_openid_social_login_validate_otp() zu übermitteln. Dadurch wird der Angreifer als der Benutzer angemeldet, dessen E-Mail-Adresse angegeben wurde – was dem Angreifer volle Administratorrechte gewährt.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Wordfence

Reservieren

19.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377620

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!