CVE-2026-12598 in Pro Plugin
요약
\~에 의해 VulDB • 2026. 07. 10.
WordPress용 LoginPress Pro 플러그인은 6.2.3 버전까지 Spotify Social Login 애드온을 통해 인증 우회 취약점이 존재합니다. 이는 `loginpress_on_spotify_login()` 함수가 Spotify의 `/v1/me` 엔드포인트에서 반환된 검증되지 않은 'email' 필드를 신뢰하고, 이를 사용하여 기존 WordPress 계정을 식별 및 로그인하는 과정에서 해당 이메일 주소의 실제 소유자를 확인하지 않고 직접 `get_user_by('email', $profile['email'])`를 호출하기 때문입니다. Spotify는 프로필 이메일이 검증되지 않았음을 문서화하고 있으며, 사용자에게 일치하는 WordPress 계정 소유권을 증명하도록 요구하지도 않습니다. 이로 인해 공격자는 대상 사용자의 이메일 주소를 사용하여 Spotify 계정을 등록한 후 Spotify 제공자를 통해 인증함으로써 관리자 권한을 포함한 기존 WordPress 사용자 중 누구든 비인증 상태로 로그인할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.