Pubblicato il 2026-07-10 · Fonte: NVD NIST
La vulnerabilità CVE-2026-12598 è stata scoperta nel plugin LoginPress Pro per WordPress, che consente l'autenticazione tramite Spotify. Il problema si verifica a causa della fiducia nell'email non verificata restituita da Spotify, che può essere utilizzata per accedere a qualsiasi account WordPress esistente. La vulnerabilità è classificata come CWE-287 e ha un impatto HIGH con un CVSS Score di 8.1. Non è stata segnalata come sfruttata attivamente.
Un attaccante può sfruttare questa vulnerabilità per accedere a qualsiasi account WordPress esistente, compresi quelli degli amministratori, semplicemente registrando un account Spotify con l'indirizzo email del bersaglio e autenticandosi tramite il provider Spotify. Ciò può portare a un accesso non autorizzato ai dati e alle funzionalità del sito web.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin LoginPress Pro alla versione più recente disponibile. Inoltre, è importante verificare regolarmente le configurazioni di autenticazione e autorizzazione del sito web e assicurarsi che siano state implementate misure di sicurezza adeguate per prevenire abusi. Se non è possibile aggiornare il plugin, si possono valutare workaround come disabilitare l'autenticazione tramite Spotify o limitare l'accesso agli account WordPress.
La vulnerabilità CVE-2026-12598 è una vulnerabilità di bypass di autenticazione nel plugin LoginPress Pro per WordPress che consente l'accesso non autorizzato agli account WordPress.
Un attaccante può sfruttare la vulnerabilità registrando un account Spotify con l'indirizzo email del bersaglio e autenticandosi tramite il provider Spotify.
Per proteggersi, si consiglia di aggiornare il plugin LoginPress Pro alla versione più recente disponibile e di verificare regolarmente le configurazioni di autenticazione e autorizzazione del sito web.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.