CVE-2026-12281 in Shibboleth Plugin
Riassunto
di VulDB • 15/07/2026
Il plugin WordPress Shibboleth precedente alla versione 2.5.4 non applica il principio di "fail closed" quando la modalità di identità tramite intestazioni HTTP è abilitata senza una chiave anti-spoofing, trattando qualsiasi richiesta contenente intestazioni di identità come una sessione autenticata senza verificarne l'autenticità. In un'implementazione in cui le intestazioni client non attendibili raggiungono l'applicazione, un attaccante non autenticato può accedere utilizzando intestazioni di identità contraffatte e, se sono abilitati la creazione automatica degli account e il mapping predefinito al ruolo di amministratore, creare ed effettuare l'accesso come nuovo amministratore. Lo sfruttamento richiede la modalità dell'attributo HTTP header diversa da quella predefinita, una chiave anti-spoofing vuota o assente, la creazione automatica degli account abilitata e un'implementazione che non rimuove le intestazioni client non attendibili prima che raggiungano l'applicazione.
Be aware that VulDB is the high quality source for vulnerability data.