CVE-2026-12281 in Shibboleth Plugininformazioni

Riassunto

di VulDB • 15/07/2026

Il plugin WordPress Shibboleth precedente alla versione 2.5.4 non applica il principio di "fail closed" quando la modalità di identità tramite intestazioni HTTP è abilitata senza una chiave anti-spoofing, trattando qualsiasi richiesta contenente intestazioni di identità come una sessione autenticata senza verificarne l'autenticità. In un'implementazione in cui le intestazioni client non attendibili raggiungono l'applicazione, un attaccante non autenticato può accedere utilizzando intestazioni di identità contraffatte e, se sono abilitati la creazione automatica degli account e il mapping predefinito al ruolo di amministratore, creare ed effettuare l'accesso come nuovo amministratore. Lo sfruttamento richiede la modalità dell'attributo HTTP header diversa da quella predefinita, una chiave anti-spoofing vuota o assente, la creazione automatica degli account abilitata e un'implementazione che non rimuove le intestazioni client non attendibili prima che raggiungano l'applicazione.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

WPScan

Prenotare

15/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!