Pubblicato il 2026-06-27 · Fonte: NVD NIST
La vulnerabilità CVE-2026-12415 è una critica escalation di privilegi nel plugin Invoice Generator per WordPress. La mancanza di un controllo di capacità sull'azione AJAX pravel_invoice_edit_account consente a utenti non autenticati di modificare l'indirizzo email di qualsiasi utente, compresi gli amministratori. Ciò può portare a un accesso non autorizzato alle account. La vulnerabilità è classificata come critica con un punteggio CVSS di 9,8.
Un attaccante può sfruttare questa vulnerabilità per modificare l'indirizzo email di un utente, compreso un amministratore, e poi utilizzare la funzione di reset della password di WordPress per ottenere l'accesso all'account. Ciò può portare a un controllo completo del sito web e a possibili attacchi di phishing o malware.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Invoice Generator alla versione più recente disponibile. Se non è possibile aggiornare, si consiglia di disabilitare il plugin e di utilizzare un'alternativa sicura. Inoltre, è importante monitorare regolarmente i log di accesso e di sistema per rilevare eventuali attività sospette.
La vulnerabilità CVE-2026-12415 è una critica escalation di privilegi nel plugin Invoice Generator per WordPress che consente a utenti non autenticati di modificare l'indirizzo email di qualsiasi utente, compresi gli amministratori.
Per verificare se il tuo sito web è vulnerabile, controlla se il plugin Invoice Generator è installato e se la versione è inferiore o uguale a 1.0.0.
Per proteggerti da questa vulnerabilità, aggiorna il plugin Invoice Generator alla versione più recente disponibile o disabilitalo e utilizza un'alternativa sicura. Monitora regolarmente i log di accesso e di sistema per rilevare eventuali attività sospette.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.