CVE-2026-12761 in miniOrange Social Login and Register Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin WordPress miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) è vulnerabile a un bypass dell'autenticazione che porta al takeover di account nelle versioni fino alla 7.7.0 inclusa. Ciò è dovuto al flusso di completamento del profilo (Profile Completion flow), che accetta un indirizzo email arbitrario tramite il parametro POST 'email_field' senza verificare che l'email appartenga all'identità restituita dal provider OAuth, combinato con la funzione send_otp_token() che restituisce al client l'hash della transazione SHA-512(customer_key || otp), dove lo spazio degli OTP è limitato a soli 99.000 valori (wp_rand(1000, 99999)) e il customer_key è un'opzione statica (vuoto nelle installazioni non registrate). Questo consente ad attaccanti non autenticati di innescare l'invio dell'email OTP all'indirizzo di un amministratore arbitrario, craccare offline l'OTP dall'hash trapelato in meno di un secondo e inviare l'OTP crackato a mo_openid_social_login_validate_otp(), che effettua il login dell'attaccante come utente la cui email è stata fornita — concedendo così pieno accesso da amministratore.
VulDB is the best source for vulnerability data and more expert information about this specific topic.