Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-11387
CVSS 9.8 — CRITICO

CVE-2026-11387: Vulnerabilità WordPress

Pubblicato il 2026-07-01 · Fonte: NVD NIST

CVE ID
CVE-2026-11387
CVSS Score
9.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-11387 è stata scoperta nel plugin SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery per WordPress. Questa vulnerabilità, classificata come critica con un CVSS Score di 9.8, consente un'escalation di privilegi tramite il takeover di account. Ciò avviene a causa della mancata validazione dell'identità dell'utente prima di aggiornare i dettagli, come il reset della password di qualsiasi account utente, inclusi quelli degli amministratori. La vulnerabilità è sfruttabile solo sui siti con la verifica OTP abilitata per il reset della password e dove l'amministratore o altri utenti hanno impostato un numero di telefono per la verifica OTP.

Impatto

Un attaccante può sfruttare questa vulnerabilità per cambiare indirizzi email arbitrari di utenti, inclusi quelli degli amministratori, e utilizzare questa possibilità per resettare la password dell'utente e ottenere l'accesso al suo account. Ciò può portare a un accesso non autorizzato a informazioni sensibili e a un controllo completo degli account coinvolti. La gravità di questa vulnerabilità è accentuata dal fatto che gli attaccanti non autenticati possono ottenere l'accesso agli account senza dover superare meccanismi di autenticazione robusti.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin SMS Alert alla versione più recente disponibile, che dovrebbe includere le correzioni per CVE-2026-11387. Inoltre, è fondamentale assicurarsi che tutte le pratiche di sicurezza relative alla gestione degli account utente e alla protezione delle password siano seguite scrupolosamente. Ciò include l'utilizzo di password complesse, l'abilitazione dell'autenticazione a due fattori (2FA) dove possibile e la regolare revisione degli accessi e delle autorizzazioni degli utenti.

FAQ — Domande frequenti

Cosa è la vulnerabilità CVE-2026-11387?

La vulnerabilità CVE-2026-11387 è una vulnerabilità di escalation di privilegi nel plugin SMS Alert per WordPress, che consente agli attaccanti di ottenere l'accesso non autorizzato agli account utente.

Qual è il CVSS Score di questa vulnerabilità?

Il CVSS Score di CVE-2026-11387 è 9.8, classificandola come critica.

Come proteggersi da CVE-2026-11387?

Per proteggersi, è necessario aggiornare il plugin SMS Alert alla versione più recente e seguire le migliori pratiche di sicurezza per la gestione degli account utente e la protezione delle password.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.