Pubblicato il 2026-07-01 · Fonte: NVD NIST
La vulnerabilità CVE-2026-12224 colpisce il plugin Dokan Pro per WordPress, consentendo l'escalation dei privilegi tramite l'endpoint REST update_capabilities. Ciò avviene a causa dell'assenza di validazione dell'allowlist per le stringhe di capacità arbitrarie passate al metodo WP_User::add_cap(). Gli attaccanti autenticati con accesso di livello Vendor e superiore possono sfruttare questa vulnerabilità per concedere capacità arbitrarie, comprese quelle di amministratore, a qualsiasi account vendor_staff. La CVSS Score di 8.8 indica un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per ottenere il controllo completo del sito web, assegnando capacità di amministratore a qualsiasi account vendor_staff. Ciò può portare a una compromissione totale della sicurezza del sito, con possibili conseguenze come la modifica di contenuti, l'accesso a informazioni sensibili e l'esecuzione di azioni maliziose. I sistemi a rischio sono quelli che utilizzano il plugin Dokan Pro per WordPress, in particolare quelli con il modulo Vendor Staff abilitato.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Dokan Pro alla versione più recente disponibile, che dovrebbe includere la correzione per la vulnerabilità. Inoltre, è importante assicurarsi che le configurazioni di sicurezza del sito web siano adeguate e che gli accessi siano limitati ai soli utenti autorizzati. In generale, è fondamentale mantenere aggiornati tutti i software e i plugin utilizzati, nonché implementare pratiche di sicurezza robuste per prevenire attacchi di questo tipo.
La vulnerabilità CVE-2026-12224 è una vulnerabilità di escalation dei privilegi nel plugin Dokan Pro per WordPress, che consente agli attaccanti autenticati di concedere capacità arbitrarie a qualsiasi account vendor_staff.
L'impatto della vulnerabilità è alto, con una CVSS Score di 8.8, e può portare a una compromissione totale della sicurezza del sito web.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il plugin Dokan Pro alla versione più recente disponibile e di implementare pratiche di sicurezza robuste, come limitare gli accessi e mantenere aggiornati tutti i software e i plugin utilizzati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.