Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-15103
CVSS 8.8 — ALTO

CVE-2026-15103: Vulnerabilità WPFunnels

Pubblicato il 2026-07-16 · Fonte: NVD NIST

CVE ID
CVE-2026-15103
CVSS Score
8.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-15103 è una debolezza nel plugin WPFunnels – Funnel Builder per WooCommerce, che consente l'escalation di privilegi. Ciò avviene a causa della mancata validazione del parametro `group_id` nella callback REST `update_settings()`, permettendo agli attaccanti autenticati con la capacità `wpf_manage_funnels` di elevare i propri privilegi a quelli di amministratore. La vulnerabilità è classificata come HIGH con un punteggio CVSS di 8.8.

Impatto

Un attaccante può sfruttare questa vulnerabilità per elevare i propri privilegi a quelli di amministratore del sito, ottenendo così accesso completo al sistema. Ciò può essere fatto scrivendo una definizione di ruolo personalizzata contenente capacità arbitrarie nell'opzione `wp_user_roles`, concedendo così a qualsiasi ruolo di WordPress l'accesso completo al sito.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per proteggersi da questa vulnerabilità, è consigliabile aggiornare il plugin WPFunnels alla versione più recente disponibile, poiché la vulnerabilità è stata risolta nelle versioni successive alla 3.12.8. Inoltre, è importante limitare l'accesso al plugin e alle funzionalità di amministrazione del sito solo agli utenti autorizzati.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-15103?

La vulnerabilità CVE-2026-15103 è una debolezza nel plugin WPFunnels che consente l'escalation di privilegi

Qual è l'impatto della vulnerabilità?

Un attaccante può elevare i propri privilegi a quelli di amministratore del sito, ottenendo accesso completo al sistema

Come proteggersi da CVE-2026-15103?

Aggiornare il plugin WPFunnels alla versione più recente disponibile e limitare l'accesso al plugin e alle funzionalità di amministrazione del sito

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.