Pubblicato il 2026-07-10 · Fonte: NVD NIST
La vulnerabilità CVE-2026-12595 è stata scoperta nel plugin LoginPress Pro per WordPress, che consente l'autenticazione tramite Discord. La vulnerabilità si verifica a causa della mancata verifica dell'indirizzo email verificato di Discord, permettendo agli attaccanti di accedere a qualsiasi account WordPress esistente, compresi quelli degli amministratori. La CVSS Score è di 8.1, classificata come alta. La vulnerabilità è stata identificata come CWE-287, ovvero un problema di autenticazione.
Un attaccante può sfruttare questa vulnerabilità per prendere il controllo di qualsiasi account WordPress esistente, compresi quelli degli amministratori, semplicemente registrando un account Discord con un indirizzo email non verificato che corrisponde all'indirizzo email registrato dell'utente WordPress e completando il flusso di autenticazione standard di Discord. Ciò potrebbe avere gravi conseguenze per la sicurezza dei siti web WordPress che utilizzano il plugin LoginPress Pro.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin LoginPress Pro alla versione più recente disponibile. Inoltre, è importante verificare regolarmente gli account utente e gli accessi per rilevare eventuali attività sospette. È anche raccomandato di utilizzare metodi di autenticazione più sicuri, come l'autenticazione a due fattori, per proteggere gli account utente.
La vulnerabilità CVE-2026-12595 è una vulnerabilità di autenticazione nel plugin LoginPress Pro per WordPress che consente l'accesso non autorizzato agli account.
La vulnerabilità può essere sfruttata registrando un account Discord con un indirizzo email non verificato che corrisponde all'indirizzo email registrato dell'utente WordPress e completando il flusso di autenticazione standard di Discord.
Per proteggersi da questa vulnerabilità, è necessario aggiornare il plugin LoginPress Pro alla versione più recente disponibile e utilizzare metodi di autenticazione più sicuri, come l'autenticazione a due fattori.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.