Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-14345
CVSS 9.8 — CRITICO

CVE-2026-14345: Vulnerabilità RCE in WPFunnels

Pubblicato il 2026-07-07 · Fonte: NVD NIST

CVE ID
CVE-2026-14345
CVSS Score
9.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-14345 è stata scoperta nel plugin WPFunnels per WordPress, che consente l'esecuzione di codice remoto (RCE) a causa della scrittura non sanificata dei valori di postData in un file di log PHP. Ciò consente a un attaccante non autenticato di eseguire codice sul server, a condizione che la funzione di log sia abilitata e che un amministratore apra successivamente il file di log contaminato. La vulnerabilità è classificata come critica con un CVSS Score di 9.8.

Impatto

Un attaccante può sfruttare questa vulnerabilità per eseguire codice arbitrario sul server, il che può portare a un controllo completo del sistema. Ciò può avere conseguenze gravi, come la compromissione dei dati sensibili e la possibilità di eseguire attacchi ulteriori. I sistemi a rischio sono quelli che utilizzano il plugin WPFunnels per WordPress con versioni fino a 3.12.7.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin WPFunnels alla versione più recente disponibile. Inoltre, è importante disabilitare la funzione di log fino a quando non si sia certi che la vulnerabilità sia stata risolta. È anche raccomandato di monitorare regolarmente i file di log e di implementare misure di sicurezza aggiuntive, come il controllo degli accessi e la limitazione delle autorizzazioni.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-14345?

La vulnerabilità CVE-2026-14345 è una vulnerabilità di esecuzione di codice remoto (RCE) nel plugin WPFunnels per WordPress.

Qual è l'impatto della vulnerabilità?

La vulnerabilità consente a un attaccante non autenticato di eseguire codice arbitrario sul server, il che può portare a un controllo completo del sistema.

Come proteggersi da CVE-2026-14345?

Per proteggersi, è necessario aggiornare il plugin WPFunnels alla versione più recente disponibile e disabilitare la funzione di log fino a quando non si sia certi che la vulnerabilità sia stata risolta.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.