Uma vulnerabilidade crítica no plugin miniOrange Social Login para WordPress pode permitir que invasores assumam contas de usuários, incluindo perfis administrativos, sem precisar conhecer a senha. A falha, identificada como CVE-2026-12761, recebeu pontuação CVSS 9.8 e afeta versões do plugin até a 7.7.0. A ferramenta permite entrar em sites usando contas de serviços como Google, Discord, Twitter e LinkedIn.
O problema está no processo usado para concluir o cadastro após o login por uma plataforma externa. Em versões vulneráveis, o plugin aceita um endereço de e-mail informado pelo próprio visitante sem confirmar se ele pertence à conta usada na autenticação.
Ao mesmo tempo, informações enviadas pela aplicação podem ajudar o invasor a descobrir o código temporário usado para validar o acesso. Como a quantidade de combinações possíveis é limitada, esse código pode ser recuperado sem contato direto com a vítima.
Com isso, um criminoso pode informar o e-mail de um usuário existente, obter o código necessário e concluir o login como se fosse o verdadeiro dono da conta. O ataque não exige autenticação prévia nem interação do usuário alvo.
Sites que usam o miniOrange Social Login devem atualizar o plugin para uma versão corrigida, revisar acessos recentes e verificar se surgiram contas ou mudanças administrativas desconhecidas.



