CVE-2026-12281 in Shibboleth Plugin
要約
〜によって VulDB • 2026年07月15日
Shibboleth WordPress プラグインのバージョン 2.5.4 より前では、HTTP ヘッダー ID モードが有効化されているにもかかわらずアンチスプーフィングキーが設定されていない場合、フェイルクローズ(安全側への失敗)動作を行いません。その結果、ID ヘッダーを含むすべてのリクエストは検証されずに認証済みセッションとして扱われます。信頼できないクライアントヘッダーがアプリケーションに到達する環境において、攻撃者は偽造された ID ヘッダーを使用して未認証でログインでき、さらにアカウントの自動作成とデフォルトの管理者ロールマッピングが有効化されている場合、新しい管理者アカウントを作成してサインインすることができます。この脆弱性を悪用するには、非標準的な HTTP ヘッダー属性モードの使用、空または欠落したスプーフィングキーの有効化、アカウント自動作成機能の有効化、およびアプリケーションに到達する前に信頼できないクライアントヘッダーを削除しないデプロイメント環境が必要です。
If you want to get best quality of vulnerability data, you may have to visit VulDB.