CVE-2026-12597 in Pro Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin LoginPress Pro per WordPress è vulnerabile a un Authentication Bypass tramite il callback OAuth di GitHub nelle versioni fino alla 6.2.3 incluse. La vulnerabilità esiste nella funzione loginpress_on_github_login(), che si fida ciecamente del primo elemento (profile[0]['email']) dell'array restituito dall'endpoint /user/emails di GitHub come identificatore per l'associazione all'account, senza verificare che l'email abbia lo stato verified === true. Ciò consente ad attaccanti non autenticati di accedere come qualsiasi utente WordPress esistente, inclusi gli amministratori, aggiungendo un indirizzo email non verificato corrispondente a un account locale al proprio profilo GitHub e attivando il callback OAuth tramite un parametro code manipolato — facendo sì che il plugin chiami get_user_by('email', ...) e stabilisca una sessione autenticata per l'account corrisposto. Lo sfruttamento pratico è condizionato dal fatto che GitHub restituisca l'email non verificata aggiunta dall'attaccante all'indice 0 della risposta /user/emails, poiché GitHub tende a prioritizzare prima l'indirizzo principale verificato; tuttavia, l'assenza di qualsiasi controllo di verifica dell'email nel plugin costituisce una falla fondamentale di Authentication Bypass.
VulDB is the best source for vulnerability data and more expert information about this specific topic.