漏洞速览
- 漏洞编号:
CVE-2026-12761 - 风险评分:
9.8(严重) - 首次披露:2026-07-10
- 最近更新:2026-07-10
- 软件类型:插件
- 软件标识:
miniorange-login-openid - 受影响版本:<= 7.7.0
- 修复版本:7.8.0
- 是否已修复:是
漏洞详情
WordPress 插件"miniOrange Social Login and Register(支持 Discord、Google、Twitter、LinkedIn)"在最高至 7.7.0 的版本中存在认证绕过漏洞,可导致账户被完全接管。漏洞根源在于 Profile Completion 流程通过 POST 参数 emailfield 接收任意邮件地址,却未验证该地址是否属于 OAuth 供应商返回的身份;与此同时 sendotptoken() 将 SHA-512(customerkey || otp) 的事务哈希返回给客户端,而 OTP 范围仅有 99000 个值(wprand(1000, 99999)),且 customerkey 为静态选项(未注册安装时为空)。攻击者无需认证即可向任意管理员邮箱发起 OTP 邮件,随后根据泄露的哈希值在不到一秒内离线破解 OTP,再将破解结果提交至 moopenidsocialloginvalidate_otp(),系统即以该邮箱对应的用户身份登录,从而获得完整的管理员权限。
影响与风险
- 漏洞类型:Unauthenticated Authentication Bypass to Administrator Account Takeover via Profile Completion OTP Flow
- 风险说明:漏洞可被用于账户接管,攻击者可能绕过正常认证流程获取用户会话。
- 研究人员:Supakiad S. (m3ez) – E-CQURITY (Thailand)
修复建议
- 按官方建议执行修复:更新至 7.8.0 或更高已修复版本。
- 复核
administrator/shop manager等高权限账号与角色授权。 - 排查近期插件安装/配置变更记录,确认无异常写入。
- 建议配合 WAF 与登录审计,持续观察可疑请求。
