Pubblicato il 2026-07-01 · Fonte: NVD NIST
La vulnerabilità CVE-2026-12158 è una Cross-Site Request Forgery (CSRF) che colpisce il plugin RegistrationMagic - User Registration Forms per WordPress. La vulnerabilità è dovuta alla mancanza di validazione nonce corretta nella funzione process_request. Ciò consente a un attaccante non autenticato di aumentare i privilegi di un utente arbitrario a livello di amministratore. La vulnerabilità è classificata come alta, con un punteggio CVSS di 8.8.
Un attaccante può sfruttare questa vulnerabilità per creare una task di automazione maliziosa che viene eseguita tramite WordPress cron, aumentando i privilegi di un utente arbitrario a livello di amministratore. Ciò può essere fatto tramite una richiesta contraffatta, a condizione che l'attaccante possa ingannare un amministratore del sito a eseguire un'azione, come ad esempio fare clic su un link.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin RegistrationMagic alla versione più recente disponibile. Inoltre, è importante implementare pratiche di sicurezza generali, come utilizzare autenticazione a due fattori e limitare l'accesso agli amministratori del sito. È anche consigliabile monitorare regolarmente i log di sicurezza per rilevare eventuali attività sospette.
La vulnerabilità CVE-2026-12158 è una Cross-Site Request Forgery (CSRF) che colpisce il plugin RegistrationMagic per WordPress.
Un attaccante può sfruttare questa vulnerabilità per aumentare i privilegi di un utente arbitrario a livello di amministratore.
Per proteggersi, si consiglia di aggiornare il plugin RegistrationMagic alla versione più recente disponibile e implementare pratiche di sicurezza generali.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.