CVE-2026-12761 in miniOrange Social Login and Register Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) ist in Versionen bis einschließlich 7.7.0 anfällig für eine Umgehung der Authentifizierung, die zu einer Übernahme von Konten führt. Dies liegt daran, dass der Flow zur Profilvervollständigung eine beliebige E-Mail-Adresse über den POST-Parameter 'email_field' akzeptiert, ohne zu überprüfen, ob diese E-Mail-Adresse tatsächlich dem vom OAuth-Anbieter zurückgegebenen Identitätsnachweis gehört. Zudem gibt die Funktion send_otp_token() den SHA-512(customer_key || otp)-Transaktionshash an den Client zurück, wobei der OTP-Raum nur 99.000 Werte umfasst (wp_rand(1000, 99999)) und der customer_key eine statische Option ist (bei nicht registrierten Installationen leer). Dies ermöglicht es unauthentifizierten Angreifern, eine E-Mail mit einem One-Time-Passwort (OTP) an die Adresse eines beliebigen Administrators auszulösen, das OTP offline unter Verwendung des geleakten Hashes in weniger als einer Sekunde zu knacken und das geknackte OTP an mo_openid_social_login_validate_otp() zu übermitteln. Dadurch wird der Angreifer als der Benutzer angemeldet, dessen E-Mail-Adresse angegeben wurde – was dem Angreifer volle Administratorrechte gewährt.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.