Saltar al contenido

Fuente base de datos: Wordfence Intelligence

LoginPress Pro <= 6.2.3 - Unauthenticated Authentication Bypass via Unverified OAuth Email via GitHub OAuth Callback (bypass de autenticacion) - version 6.2.4

PLUGIN HIGH CVE-2026-12597

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en LoginPress Pro que permite el bypass de autenticación sin necesidad de verificación de email a través de OAuth de GitHub. Esta falla, con un CVSS de 8.1, puede comprometer la seguridad del sitio web, permitiendo accesos no autorizados.

Contexto técnico

La vulnerabilidad se presenta en el componente LoginPress Pro, específicamente en las versiones hasta la 6.2.3. El fallo se origina en la falta de verificación adecuada del email durante el proceso de autenticación a través de OAuth, lo que facilita que un atacante pueda eludir las medidas de seguridad establecidas.

Impacto potencial

El bypass de autenticación puede resultar en accesos no autorizados a la administración del sitio, comprometiendo datos sensibles y la integridad del sistema. Esto puede tener repercusiones significativas en la reputación de la empresa y en la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad al utilizar el flujo de OAuth de GitHub para autenticarse sin la debida verificación del email, lo que les permite obtener acceso sin credenciales válidas.

Mitigación recomendada

Actualizar LoginPress Pro a la versión 6.2.4 o superior para corregir la vulnerabilidad. Revisar los registros de acceso para identificar intentos de autenticación inusuales. Implementar medidas de seguridad adicionales, como la autenticación de dos factores.

Señales de detección

Señales de actividad sospechosa en los logs de autenticación, como múltiples intentos de acceso desde la misma IP o patrones inusuales en el uso de OAuth.

Alcance afectado

Las versiones de LoginPress Pro hasta la 6.2.3 están afectadas. No se ha confirmado si otras versiones o componentes relacionados presentan la misma vulnerabilidad.

Vulnerabilidades relacionadas

HIGH PLUGIN

loginpress-pro

LoginPress Pro <= 6.2.3 - Unauthenticated Authentication Bypass via Unverified OAuth Email via Discord OAuth Callback

HIGH PLUGIN

loginpress-pro

LoginPress Pro <= 6.2.3 - Unauthenticated Authentication Bypass via Unverified OAuth Email in Spotify OAuth Callback

CRITICAL PLUGIN

loginpress-pro

LoginPress Pro <= 5.0.1 - Authentication Bypass via WordPress.com OAuth provider

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad