Saltar al contenido

Fuente base de datos: Wordfence Intelligence

miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) <= 7.7.0 - Unauthenticated Authentication Bypass to Administrator Account Takeover via Profile Completion OTP Flow en Miniorange Login Openid (bypass de autenticacion) - version 7.8.0

PLUGIN CRITICAL CVE-2026-12761

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin miniOrange Social Login y Register, que permite el bypass de autenticación y la toma de control de cuentas de administrador. Esta falla puede comprometer gravemente la seguridad del sitio y sus datos operativos.

Contexto técnico

El fallo se presenta en versiones del plugin miniOrange hasta la 7.7.0, permitiendo a un atacante no autenticado eludir los mecanismos de autenticación mediante un flujo de OTP de finalización de perfil. Esto expone la superficie de ataque a cualquier usuario malintencionado que interactúe con el sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en el acceso no autorizado a cuentas de administrador, lo que pone en riesgo la integridad del sitio y la confidencialidad de la información. Esto puede derivar en alteraciones no autorizadas, pérdida de datos y daños a la reputación empresarial.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al completar el flujo de OTP sin estar autenticados, lo que les permite acceder a funciones administrativas del sitio.

Mitigación recomendada

Actualizar el plugin miniOrange Social Login y Register a la versión 7.8.0 o superior. Revisar los registros de actividad para detectar accesos no autorizados. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para cuentas de administrador.

Señales de detección

Monitorear los registros de acceso en busca de intentos de inicio de sesión inusuales o accesos a secciones administrativas sin autenticación previa.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin miniOrange hasta la 7.7.0. No se han confirmado casos en versiones posteriores a la 7.8.0.

Vulnerabilidades relacionadas

HIGH PLUGIN

miniorange-login-openid

miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon <= 200.3.9 - Authentication Bypass

CRITICAL PLUGIN

miniorange-login-openid

WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) <= 7.6.4 - Authentication Bypass

MEDIUM PLUGIN

miniorange-login-openid

WordPress Social Login and Register <= 7.6.0 - Missing Authorization to Unauthenticated Arbitrary Content Deletion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad