CVE-2026-12595 in Pro Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress용 LoginPress Pro 플러그인은 6.2.3 버전을 포함한 모든 버전에서 미검증된 OAuth 이메일을 통한 인증 우회(Authentication Bypass) 취약점이 존재합니다. 이 취약점은 loginpress_on_discord_login() 디스코드(Discord) OAuth 콜백 핸들러에 위치해 있으며, 해당 핸들러는 Discord의 /users/@me 엔드포인트가 반환하는 email 필드를 검증 플래그(verified flag)가 true인지 여부를 확인하지 않은 채로 받아들이고, 이를 get_user_by('email', $profile['email'])를 통해 로컬 WordPress 계정과 직접 매핑한 후 wp_set_auth_cookie()를 사용하여 인증된 세션 쿠키를 발급합니다. 이로 인해 공격자는 대상 사용자의 등록된 WordPress 이메일 주소와 일치하는 미검증 이메일 주소를 설정한 디스코드 계정을 등록하고 표준 Discord OAuth 플로우를 완료함으로써, 관리자 계정을 포함한 기존 WordPress 계정 모두에 대한 탈취가 가능해집니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Wordfence

예약하다

2026. 06. 18.

모더레이션

수락

항목

VDB-377375

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!