🔴 严重 | CVE-2026-12761 — The miniOrange Social Login and Register (Discord,...
🔴 《严重安全漏洞:CVE-2026-12761》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-10
漏洞简介
CVE-2026-12761 是存在于 WordPress 插件 miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) 中的一个严重身份验证绕过漏洞。该漏洞允许未经认证的攻击者绕过登录验证,接管任意用户账户,包括管理员账户。
该漏洞的核心问题涉及多个环节的缺陷组合,具体如下:
不安全的邮箱验证:在“个人资料补全(Profile Completion)”流程中,插件通过
email_fieldPOST 参数接受任意电子邮件地址,但未验证该邮箱是否属于 OAuth 提供商返回的合法身份。这意味着攻击者可以伪造或指定任意邮箱地址。OTP 哈希泄露与弱随机性:插件中的
send_otp_token()函数将 SHA-512(customer_key || otp) 的哈希值返回给客户端。其中:- OTP 的生成空间仅为 99,000 个可能值(通过
wp_rand(1000, 99999)生成),空间极小。 customer_key是一个静态选项,在未注册的安装中为空字符串,进一步降低了破解难度。
- OTP 的生成空间仅为 99,000 个可能值(通过
离线 OTP 破解:由于 OTP 空间极小且哈希值暴露给客户端,攻击者可以在不到一秒的时间内离线破解出正确的 OTP。
自动登录与权限提升:攻击者通过提交破解后的 OTP 到
mo_openid_social_login_validate_otp()接口,即可作为被攻击邮箱对应的用户登录,从而获得该用户的全部权限,包括管理员权限。
该漏洞的 CWE 分类为 CWE-287(不正确的身份验证),CVSS 3.1 评分为 9.8(严重),攻击向量为网络远程攻击,无需任何权限或用户交互。
影响范围
- 受影响插件:miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn)
- 受影响版本:版本 7.7.0 及以下所有版本
- 修复版本:根据参考链接中的变更集(changeset 3592642),该漏洞已在后续版本中修复,建议升级至 7.7.0 之后的版本。
风险分析
攻击后果:攻击者可以完全接管任意 WordPress 用户账户,包括管理员账户。一旦获得管理员权限,攻击者可以:
- 修改网站内容、安装恶意插件或主题
- 窃取用户数据、数据库信息
- 将网站用于钓鱼、恶意软件分发等非法活动
- 完全控制网站服务器(如果存在进一步漏洞)
攻击条件:
- 目标网站安装了受影响版本的 miniOrange Social Login and Register 插件
- 攻击者能够触发 OTP 邮件发送到目标管理员邮箱(通过构造请求)
- 攻击者能够获取到返回的 OTP 哈希值(通过拦截响应或分析前端代码)
实际利用难度:极低。由于 OTP 空间仅有 99,000 个值,且哈希算法已知(SHA-512),攻击者可以在本地快速枚举所有可能的 OTP 值并与泄露的哈希比对,破解时间通常不到一秒。整个攻击流程无需任何身份验证,完全远程可执行。
建议措施:
- 立即将插件升级至 7.7.0 以上版本
- 检查网站日志,确认是否存在可疑的 OTP 请求或异常登录行为
- 如果无法立即升级,建议临时禁用该插件,直到完成更新
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-12761 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-287 |
| 发布时间 | 2026-07-10 |
| 最后更新 | 2026-07-10 |
| 状态 | Received |
| 数据来源 | security@wordfence.com |