CVE-2026-12761 in miniOrange Social Login and Register Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin WordPress miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) è vulnerabile a un bypass dell'autenticazione che porta al takeover di account nelle versioni fino alla 7.7.0 inclusa. Ciò è dovuto al flusso di completamento del profilo (Profile Completion flow), che accetta un indirizzo email arbitrario tramite il parametro POST 'email_field' senza verificare che l'email appartenga all'identità restituita dal provider OAuth, combinato con la funzione send_otp_token() che restituisce al client l'hash della transazione SHA-512(customer_key || otp), dove lo spazio degli OTP è limitato a soli 99.000 valori (wp_rand(1000, 99999)) e il customer_key è un'opzione statica (vuoto nelle installazioni non registrate). Questo consente ad attaccanti non autenticati di innescare l'invio dell'email OTP all'indirizzo di un amministratore arbitrario, craccare offline l'OTP dall'hash trapelato in meno di un secondo e inviare l'OTP crackato a mo_openid_social_login_validate_otp(), che effettua il login dell'attaccante come utente la cui email è stata fornita — concedendo così pieno accesso da amministratore.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Wordfence

Prenotare

19/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!