Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-12224
CVSS 8.8 — ALTO

CVE-2026-12224: Vulnerabilità Dokan Pro WordPress

Pubblicato il 2026-07-01 · Fonte: NVD NIST

CVE ID
CVE-2026-12224
CVSS Score
8.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-12224 colpisce il plugin Dokan Pro per WordPress, consentendo l'escalation dei privilegi tramite l'endpoint REST update_capabilities. Ciò avviene a causa dell'assenza di validazione dell'allowlist per le stringhe di capacità arbitrarie passate al metodo WP_User::add_cap(). Gli attaccanti autenticati con accesso di livello Vendor e superiore possono sfruttare questa vulnerabilità per concedere capacità arbitrarie, comprese quelle di amministratore, a qualsiasi account vendor_staff. La CVSS Score di 8.8 indica un impatto alto.

Impatto

Un attaccante può sfruttare questa vulnerabilità per ottenere il controllo completo del sito web, assegnando capacità di amministratore a qualsiasi account vendor_staff. Ciò può portare a una compromissione totale della sicurezza del sito, con possibili conseguenze come la modifica di contenuti, l'accesso a informazioni sensibili e l'esecuzione di azioni maliziose. I sistemi a rischio sono quelli che utilizzano il plugin Dokan Pro per WordPress, in particolare quelli con il modulo Vendor Staff abilitato.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Dokan Pro alla versione più recente disponibile, che dovrebbe includere la correzione per la vulnerabilità. Inoltre, è importante assicurarsi che le configurazioni di sicurezza del sito web siano adeguate e che gli accessi siano limitati ai soli utenti autorizzati. In generale, è fondamentale mantenere aggiornati tutti i software e i plugin utilizzati, nonché implementare pratiche di sicurezza robuste per prevenire attacchi di questo tipo.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-12224?

La vulnerabilità CVE-2026-12224 è una vulnerabilità di escalation dei privilegi nel plugin Dokan Pro per WordPress, che consente agli attaccanti autenticati di concedere capacità arbitrarie a qualsiasi account vendor_staff.

Qual è l'impatto della vulnerabilità?

L'impatto della vulnerabilità è alto, con una CVSS Score di 8.8, e può portare a una compromissione totale della sicurezza del sito web.

Come proteggersi da CVE-2026-12224?

Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il plugin Dokan Pro alla versione più recente disponibile e di implementare pratiche di sicurezza robuste, come limitare gli accessi e mantenere aggiornati tutti i software e i plugin utilizzati.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.