Pubblicato il 2026-06-30 · Fonte: NVD NIST
Il plugin ProfileGrid per WordPress è vulnerabile a escalation di privilegi via takeover di account a causa della mancanza di validazione del parametro 'user_login' nei form di registrazione e della gestione errata dei messaggi di errore. Ciò consente a un attaccante non autenticato di modificare l'indirizzo email dell'account con ID=1, solitamente un amministratore, e di utilizzare questa vulnerabilità per reimpostare la password e ottenere l'accesso all'account. La versione interessata è fino alla 5.9.9.5.
Un attaccante può sfruttare questa vulnerabilità per ottenere l'accesso a un account amministratore, potenzialmente portando a un controllo completo del sito web e dei dati in esso contenuti. I sistemi a rischio sono quelli che utilizzano il plugin ProfileGrid per WordPress in versioni fino alla 5.9.9.5.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin ProfileGrid per WordPress alla versione più recente disponibile. In assenza di un aggiornamento, si possono adottare misure generali di sicurezza come il monitoraggio delle attività del sito web, l'implementazione di autenticazione a due fattori e la limitazione degli accessi amministrativi.
La causa è la mancanza di validazione del parametro 'user_login' nei form di registrazione e la gestione errata dei messaggi di errore.
Tutte le versioni fino alla 5.9.9.5 sono vulnerabili.
Aggiornare il plugin ProfileGrid per WordPress alla versione più recente disponibile o adottare misure di sicurezza generali come il monitoraggio delle attività del sito web e l'implementazione di autenticazione a due fattori.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.