CVE-2026-12598 in Pro Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin LoginPress Pro per WordPress è vulnerabile all'elusione dell'autenticazione nelle versioni fino alla 6.2.3 incluse tramite l'estensione Spotify Social Login. Ciò è dovuto al fatto che la funzione loginpress_on_spotify_login() si fida del campo 'email', non verificato, restituito dall'endpoint /v1/me di Spotify e lo utilizza direttamente con get_user_by('email', $profile['email']) per identificare ed effettuare l'accesso a un account WordPress esistente, senza confermare che l'utente Spotify possieda effettivamente tale indirizzo email (Spotify documenta che l'email del profilo non è verificata) e senza richiedere all'utente di dimostrare la proprietà dell'account WordPress corrispondente. Ciò consente agli attaccanti non autenticati di accedere come qualsiasi utente WordPress esistente, inclusi gli Amministratori, registrando un account Spotify utilizzando l'indirizzo email dell'utente bersaglio ed effettuando l'autenticazione tramite il provider Spotify.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.