Pubblicato il 2026-07-10 · Fonte: NVD NIST
La vulnerabilità CVE-2026-12597 colpisce il plugin LoginPress Pro per WordPress, consentendo a un attaccante di bypassare l'autenticazione tramite il callback di GitHub OAuth. Ciò avviene a causa della mancanza di verifica dell'indirizzo email restituito da GitHub, che può essere manipolato dall'attaccante. La vulnerabilità è classificata come alta, con un punteggio CVSS di 8.1, e non è attualmente sfruttata.
Un attaccante può sfruttare questa vulnerabilità per accedere a qualsiasi account WordPress, compresi quelli degli amministratori, aggiungendo un indirizzo email non verificato al proprio profilo GitHub e attivando il callback di OAuth. Ciò può portare a un accesso non autorizzato al sito web e potenzialmente a operazioni dannose.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin LoginPress Pro alla versione più recente disponibile. Inoltre, è importante assicurarsi che la configurazione di GitHub OAuth sia corretta e che gli indirizzi email siano verificati prima di concedere l'accesso al sito web. In generale, è fondamentale mantenere aggiornati tutti i software e i plugin per prevenire vulnerabilità di sicurezza.
La vulnerabilità CVE-2026-12597 è una vulnerabilità di bypass di autenticazione nel plugin LoginPress Pro per WordPress che consente a un attaccante di accedere a qualsiasi account senza autorizzazione
Un attaccante può sfruttare questa vulnerabilità aggiungendo un indirizzo email non verificato al proprio profilo GitHub e attivando il callback di OAuth per accedere al sito web
Per proteggersi da questa vulnerabilità, è necessario aggiornare il plugin LoginPress Pro alla versione più recente disponibile e verificare la configurazione di GitHub OAuth
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.