🔴 《严重安全漏洞:CVE-2026-12761》

CVSS 评分: 严重(9.8)  状态: Received  发布时间: 2026-07-10


漏洞简介

CVE-2026-12761 是存在于 WordPress 插件 miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) 中的一个严重身份验证绕过漏洞。该漏洞允许未经认证的攻击者绕过登录验证,接管任意用户账户,包括管理员账户。

该漏洞的核心问题涉及多个环节的缺陷组合,具体如下:

  1. 不安全的邮箱验证:在“个人资料补全(Profile Completion)”流程中,插件通过 email_field POST 参数接受任意电子邮件地址,但未验证该邮箱是否属于 OAuth 提供商返回的合法身份。这意味着攻击者可以伪造或指定任意邮箱地址。

  2. OTP 哈希泄露与弱随机性:插件中的 send_otp_token() 函数将 SHA-512(customer_key || otp) 的哈希值返回给客户端。其中:

    • OTP 的生成空间仅为 99,000 个可能值(通过 wp_rand(1000, 99999) 生成),空间极小。
    • customer_key 是一个静态选项,在未注册的安装中为空字符串,进一步降低了破解难度。
  3. 离线 OTP 破解:由于 OTP 空间极小且哈希值暴露给客户端,攻击者可以在不到一秒的时间内离线破解出正确的 OTP。

  4. 自动登录与权限提升:攻击者通过提交破解后的 OTP 到 mo_openid_social_login_validate_otp() 接口,即可作为被攻击邮箱对应的用户登录,从而获得该用户的全部权限,包括管理员权限。

该漏洞的 CWE 分类为 CWE-287(不正确的身份验证),CVSS 3.1 评分为 9.8(严重),攻击向量为网络远程攻击,无需任何权限或用户交互。

影响范围

  • 受影响插件:miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn)
  • 受影响版本:版本 7.7.0 及以下所有版本
  • 修复版本:根据参考链接中的变更集(changeset 3592642),该漏洞已在后续版本中修复,建议升级至 7.7.0 之后的版本。

风险分析

  • 攻击后果:攻击者可以完全接管任意 WordPress 用户账户,包括管理员账户。一旦获得管理员权限,攻击者可以:

    • 修改网站内容、安装恶意插件或主题
    • 窃取用户数据、数据库信息
    • 将网站用于钓鱼、恶意软件分发等非法活动
    • 完全控制网站服务器(如果存在进一步漏洞)
  • 攻击条件

    • 目标网站安装了受影响版本的 miniOrange Social Login and Register 插件
    • 攻击者能够触发 OTP 邮件发送到目标管理员邮箱(通过构造请求)
    • 攻击者能够获取到返回的 OTP 哈希值(通过拦截响应或分析前端代码)
  • 实际利用难度:极低。由于 OTP 空间仅有 99,000 个值,且哈希算法已知(SHA-512),攻击者可以在本地快速枚举所有可能的 OTP 值并与泄露的哈希比对,破解时间通常不到一秒。整个攻击流程无需任何身份验证,完全远程可执行。

  • 建议措施

    • 立即将插件升级至 7.7.0 以上版本
    • 检查网站日志,确认是否存在可疑的 OTP 请求或异常登录行为
    • 如果无法立即升级,建议临时禁用该插件,直到完成更新

🔍 技术细节

字段
CVE ID CVE-2026-12761
CVSS 评分 9.8 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE 分类 CWE-287
发布时间 2026-07-10
最后更新 2026-07-10
状态 Received
数据来源 security@wordfence.com

🔗 参考链接