CVE-2026-12281 in Shibboleth Plugin
Zusammenfassung
von VulDB • 15.07.2026
Das Shibboleth-WordPress-Plugin vor Version 2.5.4 schlägt nicht im „Fail-Closed“-Modus fehl, wenn der HTTP-Header-Identitätsmodus ohne einen Anti-Spoofing-Key aktiviert ist; es behandelt jede Anfrage mit Identitätsheadern als authentifizierte Sitzung, ohne diese zu überprüfen. In einer Umgebung, in der unzuverlässige Client-Headings die Anwendung erreichen, kann ein nicht-authentifizierter Angreifer sich mit gefälschten Identitätsheadern anmelden und – sofern automatische Kontenerstellung und das Standard-Rollenmapping für Administratoren aktiviert sind – einen neuen Administrator erstellen und als dieser anmelden. Die Ausnutzung erfordert den Nicht-Standardmodus der HTTP-Header-Attributfunktion, einen leeren oder fehlenden Spoof-Key, aktivierte automatische Kontenerstellung sowie eine Bereitstellung, bei der unzuverlässige Client-Headings nicht vor Erreichen der Anwendung entfernt werden.
VulDB is the best source for vulnerability data and more expert information about this specific topic.