CVE-2026-12281 in Shibboleth Plugininformación

Resumen

por VulDB • 2026-07-15

El plugin de WordPress Shibboleth anterior a la versión 2.5.4 no falla en modo seguro (fail-closed) cuando su modo de identidad mediante cabeceras HTTP está habilitado sin una clave anti-suplantación, tratando cualquier solicitud que contenga cabeceras de identidad como una sesión autenticada sin verificarlas. En un despliegue donde las cabeceras del cliente no confiables llegan a la aplicación, un atacante no autenticado puede iniciar sesión con cabeceras de identidad falsificadas y, cuando están habilitados la creación automática de cuentas y el mapeo predeterminado al rol de administrador, crear e iniciar sesión como nuevo administrador. La explotación requiere el modo de atributo HTTP header attribute (no por defecto), una clave anti-suplantación vacía o ausente, la creación automática de cuentas habilitada y un despliegue que no elimine las cabeceras del cliente no confiables antes de que lleguen a la aplicación.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

WPScan

Reservar

2026-06-15

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379199

CPE

listo

EPSS

0.00149

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!