Sites WordPress devem atualizar miniOrange após alerta crítico

Uma vulnerabilidade crítica no plugin miniOrange Social Login para WordPress pode permitir que invasores assumam contas de usuários, incluindo perfis administrativos, sem precisar conhecer a senha. A falha, identificada como CVE-2026-12761, recebeu pontuação CVSS 9.8 e afeta versões do plugin até a 7.7.0. A ferramenta permite entrar em sites usando contas de serviços como Google, Discord, Twitter e LinkedIn.

O problema está no processo usado para concluir o cadastro após o login por uma plataforma externa. Em versões vulneráveis, o plugin aceita um endereço de e-mail informado pelo próprio visitante sem confirmar se ele pertence à conta usada na autenticação.

Ao mesmo tempo, informações enviadas pela aplicação podem ajudar o invasor a descobrir o código temporário usado para validar o acesso. Como a quantidade de combinações possíveis é limitada, esse código pode ser recuperado sem contato direto com a vítima.

Com isso, um criminoso pode informar o e-mail de um usuário existente, obter o código necessário e concluir o login como se fosse o verdadeiro dono da conta. O ataque não exige autenticação prévia nem interação do usuário alvo.

Sites que usam o miniOrange Social Login devem atualizar o plugin para uma versão corrigida, revisar acessos recentes e verificar se surgiram contas ou mudanças administrativas desconhecidas.

Leia mais na mesma categoria:

NotíciasPatches e CorreçõesVulnerabilidades