La vulnerabilidad CVE-2026-57807 en el plugin OAuth de miniOrange tiene CVSS 9.8 sobre 10 según el NVD, publicado en julio de 2026. Afecta el plugin OAuth Single Sign On – SSO (OAuth Client) de miniOrange Security en todas sus versiones hasta la 38.5.8, permite el bypass completo de autenticación sin credenciales previas y habilita la explotación del flujo de recuperación de contraseña para tomar el control de cuentas.
En 30 segundos
- CVSS 9.8: máxima criticidad práctica, vector de red, sin autenticación requerida, complejidad baja
- Plugin afectado: OAuth Single Sign On – SSO (OAuth Client) de miniOrange, todas las versiones hasta 38.5.8 inclusive
- Tipo de ataque: bypass de autenticación por canal alternativo con explotación del mecanismo de recuperación de contraseña
- Consecuencia posible: toma de control de cuentas admin sin dejar rastros de intentos de login fallidos
- Acción urgente: verificar versión instalada, actualizar de inmediato o desactivar el plugin si aún no hay parche disponible
El plugin miniOrange OAuth Single Sign On – SSO (OAuth Client) es una extensión de WordPress que habilita el inicio de sesión usando proveedores externos como Google, Facebook o cualquier sistema compatible con OAuth 2.0 u OIDC. Según la entrada oficial en el NVD, CVE-2026-57807 es una falla de tipo «Authentication Bypass Using an Alternate Path or Channel» que permite explotar el flujo de recuperación de contraseña para obtener acceso sin autenticación legítima previa. El CNA asignó el vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, que en términos directos significa: ataque de red, sin privilegios previos, sin interacción del usuario, impacto máximo en confidencialidad, integridad y disponibilidad.
¿Qué versiones del plugin miniOrange OAuth están afectadas?
El NVD establece el rango vulnerable como «from n/a through 38.5.8». Eso quiere decir que no hay ninguna versión del plugin publicada hasta el momento que esté libre de la falla. La 38.5.8 es la última versión confirmada como vulnerable.
| Versión del plugin | Estado de seguridad | Acción recomendada |
|---|---|---|
| Hasta 38.5.8 (inclusive) | Vulnerable — CVE-2026-57807 | Actualizar de inmediato o desactivar |
| 38.5.9 o superior | A confirmar por el vendor | Verificar en repositorio WordPress.org |
| No instalado / desinstalado | No afectado | Sin acción requerida |

Ojo: que el plugin figure como «inactivo» en el panel no lo hace seguro. El código sigue presente en el servidor (que no es poco), y algunos vectores de ataque pueden aprovechar plugins desactivados dependiendo de cómo estén configurados los endpoints. Lo más limpio es actualizar o desinstalar.
¿Cómo funciona el ataque de bypass de autenticación?
Ponele que alguien llega a tu WordPress sin ninguna credencial. No tiene usuario registrado, no conoce la contraseña del admin, no tiene sesión activa. Lo único que tiene es acceso HTTP al sitio y conocimiento de esta falla. Eso alcanza. Ya lo cubrimos antes en nuestra guía sobre autenticación multifactor adicional.
El tipo de vulnerabilidad es «Authentication Bypass Using an Alternate Path or Channel» (CWE-288). En lugar de intentar adivinar o forzar una contraseña, el atacante usa un camino distinto que el plugin ya tiene disponible: el mecanismo de recuperación de contraseña. Ese flujo, que en condiciones normales requiere acceso al email registrado, tiene una brecha que CVE-2026-57807 explota para saltear esa verificación y obtener control de la cuenta sin pasar nunca por el formulario de login estándar.
Subís el plugin, lo configurás con el wizard de miniOrange, probás que el login con Google funciona perfecto, todo bien, pasan los meses sin ninguna alerta, y el CVE se publica en julio de 2026 y la versión instalada sigue siendo la 38.5.8 porque nadie revisó las actualizaciones desde que quedó andando.
La diferencia importante con un brute force: no hay intentos de login fallidos que Wordfence o Limit Login Attempts puedan detectar y bloquear. El bypass pasa por otra ruta del plugin. Eso lo hace más difícil de detectar en tiempo real.
¿Cuánto tiempo necesita el atacante? El vector lo dice: AC:L (baja complejidad), sin preparación especial. No hay mitigante técnico en el camino. Para más detalles técnicos, mirá nuestra guía completa sobre doble factor de autenticación.
¿Cuáles son los riesgos reales para tu sitio WordPress?
Un CVSS 9.8 en un plugin de autenticación no es un riesgo abstracto. Una vez que alguien explota esta falla, lo que puede hacer es equivalente a lo que puede hacer cualquier administrador legítimo del sitio.
- Toma de cuentas de administrador: acceso completo al panel sin generar alertas de login fallido que disparen bloqueos automáticos.
- Inyección de contenido malicioso: modificación de posts, páginas y widgets para servir malware o phishing a los visitantes.
- Exfiltración de datos de usuarios: emails, contraseñas hasheadas, direcciones, historial de pedidos. Para sitios WooCommerce esto incluye información financiera de clientes.
- Instalación de backdoors: plugins maliciosos o modificaciones de archivos PHP para mantener acceso persistente incluso después de que se corrija la vulnerabilidad.
- Daño a indexación: Google detecta sitios que sirven malware y los elimina del índice. Recuperar el posicionamiento después de eso puede llevar meses.
Para e-commerce o sitios con datos sensibles: esto no es un escenario en el que sea razonable esperar «unos días» para actualizar.
¿Cómo verificar si tenés esta vulnerabilidad instalada?
Tres formas de chequear, dependiendo de cómo tengas el acceso configurado:
- Desde el panel de WordPress: Plugins > Plugins instalados > buscá «miniOrange OAuth» o «OAuth Single Sign On». El nombre exacto del plugin es «OAuth Single Sign On – SSO (OAuth Client)». La columna de versión te dice si estás en riesgo.
- Vía WP-CLI:
wp plugin list | grep -i miniorangelista todos los plugins de miniOrange con versión y estado. Podés reemplazar el grep porgrep -i oauthsi querés buscar por funcionalidad. - Con herramientas de seguridad: Wordfence, WPScan y el plugin WPVulnerability incorporan CVEs a sus bases de datos. Una vez que procesen CVE-2026-57807, el scanner lo detecta automáticamente en el próximo análisis.
El tiempo que tardan las herramientas en incorporar un CVE nuevo varía. No confíes en que el scanner te avise antes de que alguien lo pruebe: buscalo manualmente ahora.
¿Cuál es el parche y cómo actualizar de forma segura?
Al momento de publicación, la entrada del NVD para CVE-2026-57807 figuraba como «recently published» y no contenía referencias explícitas a una versión corregida. El vendor (miniOrange Security Software Pvt Ltd.) tiene el plugin activo en el repositorio de WordPress, lo que hace probable que ya esté trabajando en o haya publicado un parche. La verificación más directa: ir a WordPress.org y revisar si hay una versión posterior a la 38.5.8 disponible. Relacionado: parte de una estrategia de seguridad integral.
Si la hay, el proceso de actualización segura:
- Backup completo antes de empezar: base de datos más archivos. Si usás donweb.com como hosting, verificá que el servicio de backups automáticos esté activo y que el último backup sea reciente antes de tocar nada.
- Actualizar desde el panel o WP-CLI: Plugins > Actualizaciones, o
wp plugin update miniorange-oauth-oidc-single-sign-ondesde terminal. - Verificar que el SSO funciona después: probá el login con un proveedor externo desde una ventana de incógnito antes de cerrar la sesión de admin.
- Revisar el changelog del plugin: una actualización que corrija un CVE 9.8 debería mencionarlo explícitamente en el historial de cambios. Si no lo menciona, tomalo con pinzas.
Si no hay parche disponible todavía: desactivar el plugin es la opción más segura. Esto interrumpe el SSO, pero los usuarios pueden seguir entrando con usuario y contraseña de WordPress. Temporal. Necesario.
Qué hacer si sospechás que tu sitio ya fue comprometido
¿Y si la explotación ya ocurrió? Hay señales a revisar de inmediato.
- Revisá el log de actividad: Wordfence Activity Log o el plugin Simple History muestran logins, cambios de contraseña y creación de usuarios. Buscá accesos admin en horarios inusuales o desde IPs que no reconocés.
- Verificá los usuarios admin existentes: Usuarios > Todos los usuarios, filtrado por rol «Administrador». Un usuario que no reconocés fue creado sin autorización.
- Cambiá contraseñas de todos los admins: todas, no solo la tuya. Si el atacante obtuvo acceso, puede haber guardado o modificado credenciales.
- Escaneá malware: Wordfence o el scanner de Patchstack detectan archivos modificados y código inyectado. Prestá atención a archivos PHP tocados en fechas que no coincidan con actualizaciones tuyas.
- Revisá cambios de contenido recientes: posts, páginas, widgets, funciones.php. Un atacante que quiere persistencia modifica archivos del servidor; uno que quiere daño inmediato toca contenido visible.
- Contactá a tu hosting: si confirmás compromiso, soporte puede revisar logs a nivel servidor y aislar el sitio si la situación lo requiere.
Para sitios con datos sensibles, considerá un análisis forense antes de simplemente «limpiar y seguir». Los backdoors bien instalados sobreviven a una limpieza superficial, y subís el plugin en versión limpia pero el acceso malicioso sigue activo (spoiler: eso es exactamente lo que los atacantes esperan que hagas).
Recomendaciones de seguridad para plugins SSO en WordPress
CVE-2026-57807 es un recordatorio de algo que vale tener claro: los plugins de autenticación tienen un perfil de riesgo distinto al resto. Un fallo en un plugin de galería de fotos es un problema. Un fallo en el mecanismo de login es la puerta principal.
- Activá 2FA para todos los admins: incluso si usás SSO, un segundo factor adicional en WordPress limita el daño si el SSO falla. Wordfence incluye 2FA gratuito.
- Desinstalá los plugins SSO que no uses: el plugin inactivo sigue siendo código en el servidor. Si no lo necesitás, borralo.
- Suscribite a alertas de vulnerabilidades: Patchstack y Wordfence envían emails cuando aparecen CVEs en plugins instalados. Configurarlo lleva cinco minutos.
- Auditá permisos de la REST API: muchos ataques de autenticación pasan por endpoints REST. Si no necesitás que la API sea pública, restringí el acceso.
- Backups automáticos diarios: no previenen el ataque, pero permiten recuperarte sin pérdida de datos si ocurre algo.
Qué está confirmado y qué todavía no
| Dato | Estado |
|---|---|
| CVE-2026-57807 existe y afecta plugin miniOrange OAuth SSO hasta versión 38.5.8 | Confirmado (NVD, julio 2026) |
| CVSS 9.8, vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Confirmado (CNA, vector publicado) |
| Tipo de falla: bypass por canal alternativo + explotación de password recovery | Confirmado (NVD) |
| Versión corregida disponible (38.5.9 o superior) | Pendiente confirmación del vendor |
| Explotación activa en la naturaleza (in-the-wild) | No confirmada al cierre de esta nota |
| PoC público disponible | No confirmado |
Preguntas Frecuentes
¿Qué es CVE-2026-57807 y cómo afecta mi WordPress?
CVE-2026-57807 es una vulnerabilidad de bypass de autenticación con CVSS 9.8 en el plugin miniOrange OAuth Single Sign On – SSO (OAuth Client) para WordPress. La falla permite que un atacante externo acceda al sitio sin contraseña, explotando el mecanismo de recuperación de contraseña del plugin. Cualquier instalación con el plugin activo en versión 38.5.8 o anterior está expuesta al ataque directamente desde la red, sin necesitar credenciales previas. Te puede servir nuestra guía sobre protección DDoS para WordPress.
¿Qué versiones del plugin miniOrange OAuth están vulnerables?
Según el NVD, todas las versiones hasta la 38.5.8 inclusive. El registro usa la notación «from n/a through 38.5.8», lo que indica que ninguna versión publicada previa está libre de la falla. La existencia de una versión corregida (38.5.9 o superior) debe verificarse directamente en el repositorio oficial de WordPress.org, ya que al momento de publicación del CVE no figuraba en la entrada del NVD.
¿Cómo sé si tengo este plugin instalado en mi WordPress?
Andá a Plugins > Plugins instalados en tu panel y buscá «OAuth Single Sign On» o «miniOrange». Vía WP-CLI, wp plugin list | grep -i miniorange lista todos los plugins relacionados con su versión y estado. Las herramientas de seguridad como Wordfence y WPVulnerability también lo detectarán una vez que incorporen este CVE a sus bases de datos, aunque el tiempo de incorporación puede variar tras la publicación.
¿Qué tan grave es un bypass de autenticación con CVSS 9.8?
Con el vector AV:N/AC:L/PR:N/UI:N, el ataque es remoto, de baja complejidad, no requiere ningún privilegio previo y no necesita acción del usuario objetivo. Un atacante exitoso puede tomar cuentas de admin, instalar plugins maliciosos, modificar contenido, exfiltrar datos o dejar backdoors. Para WooCommerce, esto incluye datos de clientes y pedidos. El impacto en confidencialidad, integridad y disponibilidad es máximo según la clasificación CVSS 3.1.
¿Qué hago si no hay parche disponible todavía?
Desactivar el plugin es la opción más segura mientras el vendor publica la corrección. Esto interrumpe el SSO, pero los usuarios pueden seguir entrando con sus credenciales propias de WordPress. Como medidas adicionales: activá 2FA en todas las cuentas admin, revisá los logs de acceso de los últimos días y verificá la lista de usuarios con rol Administrador para detectar cuentas creadas sin autorización.
Conclusión
CVE-2026-57807 es el tipo de vulnerabilidad que no da margen. CVSS 9.8, ataque de red, sin autenticación previa, complejidad baja: la combinación de esos factores hace que la ventana entre publicación del CVE y primeros intentos de explotación sea corta. La gente que escanea activamente en busca de estas fallas no espera semanas.
Si usás el plugin OAuth Single Sign On – SSO (OAuth Client) de miniOrange en cualquier versión hasta la 38.5.8, el camino es uno: verificar si hay actualización disponible en WordPress.org, hacer backup, actualizar y probar el SSO. Si no hay parche todavía, desactivar hasta que lo haya. Ningún flujo de login con Google vale más que la integridad del sitio.
Lo que debería quedar claro de todo esto es que los plugins de autenticación requieren atención prioritaria cuando sale un CVE. No es lo mismo un fallo en un slider que un fallo en el mecanismo que decide quién puede acceder al panel de administración. Esa distinción cambia completamente la urgencia de la respuesta.
Fuentes
- NVD — CVE-2026-57807: entrada oficial con vector CVSS y descripción técnica
- Patchstack — WordPress OAuth SSO Authentication Bypass Vulnerability
- The Hacker Wire — CVE-2026-57807: análisis del tipo de ataque
- WPScan — base de datos del plugin miniOrange OAuth OIDC Single Sign On
- Wordfence Threat Intelligence — vulnerabilidades conocidas de WordPress