Pubblicato il 2026-07-01 · Fonte: NVD NIST
La vulnerabilità CVE-2026-11387 è stata scoperta nel plugin SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery per WordPress. Questa vulnerabilità, classificata come critica con un CVSS Score di 9.8, consente un'escalation di privilegi tramite il takeover di account. Ciò avviene a causa della mancata validazione dell'identità dell'utente prima di aggiornare i dettagli, come il reset della password di qualsiasi account utente, inclusi quelli degli amministratori. La vulnerabilità è sfruttabile solo sui siti con la verifica OTP abilitata per il reset della password e dove l'amministratore o altri utenti hanno impostato un numero di telefono per la verifica OTP.
Un attaccante può sfruttare questa vulnerabilità per cambiare indirizzi email arbitrari di utenti, inclusi quelli degli amministratori, e utilizzare questa possibilità per resettare la password dell'utente e ottenere l'accesso al suo account. Ciò può portare a un accesso non autorizzato a informazioni sensibili e a un controllo completo degli account coinvolti. La gravità di questa vulnerabilità è accentuata dal fatto che gli attaccanti non autenticati possono ottenere l'accesso agli account senza dover superare meccanismi di autenticazione robusti.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin SMS Alert alla versione più recente disponibile, che dovrebbe includere le correzioni per CVE-2026-11387. Inoltre, è fondamentale assicurarsi che tutte le pratiche di sicurezza relative alla gestione degli account utente e alla protezione delle password siano seguite scrupolosamente. Ciò include l'utilizzo di password complesse, l'abilitazione dell'autenticazione a due fattori (2FA) dove possibile e la regolare revisione degli accessi e delle autorizzazioni degli utenti.
La vulnerabilità CVE-2026-11387 è una vulnerabilità di escalation di privilegi nel plugin SMS Alert per WordPress, che consente agli attaccanti di ottenere l'accesso non autorizzato agli account utente.
Il CVSS Score di CVE-2026-11387 è 9.8, classificandola come critica.
Per proteggersi, è necessario aggiornare il plugin SMS Alert alla versione più recente e seguire le migliori pratiche di sicurezza per la gestione degli account utente e la protezione delle password.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.