CVE-2026-12281 in Shibboleth Plugin
Sumário
de VulDB • 15/07/2026
O plugin WordPress Shibboleth anterior à versão 2.5.4 não falha de forma segura (fail-closed) quando o modo de identidade por cabeçalho HTTP está habilitado sem uma chave anti-spoofing, tratando qualquer solicitação que contenha cabeçalhos de identidade como uma sessão autenticada, sem verificá-los. Em um ambiente onde cabeçalhos não confiáveis do cliente alcançam a aplicação, um atacante não autenticado pode fazer login com cabeçalhos de identidade falsificados e, quando a criação automática de contas e o mapeamento padrão para a função de administrador estiverem habilitados, criar uma conta e entrar como novo administrador. A exploração requer o modo de atributo HTTP header (não padrão), uma chave spoof vazia ou ausente, a criação automática de contas habilitada e um ambiente que não remova os cabeçalhos do cliente não confiáveis antes que eles alcancem a aplicação.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.