Pubblicato il 2026-07-08 · Fonte: NVD NIST
La vulnerabilità CVE-2026-14495 è una vulnerabilità di bypass di autenticazione nel plugin DoLogin Security per WordPress. La vulnerabilità esiste a causa della insufficiente randomizzazione nella generazione dei token di login, che consente a un attaccante di ricostruire il token e accedere a qualsiasi account. La vulnerabilità è classificata come alta, con un punteggio CVSS di 8,8. Il plugin utilizza un algoritmo di generazione di numeri casuali non sufficientemente sicuro, che può essere sfruttato da un attaccante per accedere a qualsiasi account.
Un attaccante può sfruttare questa vulnerabilità per accedere a qualsiasi account, compresi quelli degli amministratori, senza la necessità di una password. Ciò può avere gravi conseguenze per la sicurezza dei sistemi, poiché un attaccante può eseguire azioni dannose come la modifica di dati sensibili o l'installazione di malware. La vulnerabilità può essere sfruttata solo se esiste un link di login passwordless valido e non scaduto per l'account bersaglio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile aggiornare il plugin DoLogin Security alla versione più recente disponibile. Inoltre, è importante utilizzare pratiche di sicurezza generali come l'utilizzo di password forti e uniche, l'abilitazione dell'autenticazione a due fattori e la limitazione degli accessi non autorizzati. È anche consigliabile monitorare i log di accesso e di sistema per rilevare eventuali attività sospette.
La vulnerabilità CVE-2026-14495 è una vulnerabilità di bypass di autenticazione nel plugin DoLogin Security per WordPress che consente a un attaccante di accedere a qualsiasi account senza password.
La vulnerabilità può essere sfruttata da un attaccante che conosce il link di login passwordless valido e non scaduto per l'account bersaglio e che può ricostruire il token di login utilizzando l'algoritmo di generazione di numeri casuali non sufficientemente sicuro.
Per proteggersi da questa vulnerabilità, è consigliabile aggiornare il plugin DoLogin Security alla versione più recente disponibile e utilizzare pratiche di sicurezza generali come l'utilizzo di password forti e uniche, l'abilitazione dell'autenticazione a due fattori e la limitazione degli accessi non autorizzati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.