CVE-2026-12281 in Shibboleth Plugininfo

Zusammenfassung

von VulDB • 15.07.2026

Das Shibboleth-WordPress-Plugin vor Version 2.5.4 schlägt nicht im „Fail-Closed“-Modus fehl, wenn der HTTP-Header-Identitätsmodus ohne einen Anti-Spoofing-Key aktiviert ist; es behandelt jede Anfrage mit Identitätsheadern als authentifizierte Sitzung, ohne diese zu überprüfen. In einer Umgebung, in der unzuverlässige Client-Headings die Anwendung erreichen, kann ein nicht-authentifizierter Angreifer sich mit gefälschten Identitätsheadern anmelden und – sofern automatische Kontenerstellung und das Standard-Rollenmapping für Administratoren aktiviert sind – einen neuen Administrator erstellen und als dieser anmelden. Die Ausnutzung erfordert den Nicht-Standardmodus der HTTP-Header-Attributfunktion, einen leeren oder fehlenden Spoof-Key, aktivierte automatische Kontenerstellung sowie eine Bereitstellung, bei der unzuverlässige Client-Headings nicht vor Erreichen der Anwendung entfernt werden.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

WPScan

Reservieren

15.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379199

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!