CVE-2026-12598 in Pro Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin LoginPress Pro per WordPress è vulnerabile all'elusione dell'autenticazione nelle versioni fino alla 6.2.3 incluse tramite l'estensione Spotify Social Login. Ciò è dovuto al fatto che la funzione loginpress_on_spotify_login() si fida del campo 'email', non verificato, restituito dall'endpoint /v1/me di Spotify e lo utilizza direttamente con get_user_by('email', $profile['email']) per identificare ed effettuare l'accesso a un account WordPress esistente, senza confermare che l'utente Spotify possieda effettivamente tale indirizzo email (Spotify documenta che l'email del profilo non è verificata) e senza richiedere all'utente di dimostrare la proprietà dell'account WordPress corrispondente. Ciò consente agli attaccanti non autenticati di accedere come qualsiasi utente WordPress esistente, inclusi gli Amministratori, registrando un account Spotify utilizzando l'indirizzo email dell'utente bersaglio ed effettuando l'autenticazione tramite il provider Spotify.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Wordfence

Prenotare

18/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!