Pubblicato il 2026-07-10 · Fonte: NVD NIST
Il plugin Instant Appointment per WordPress presenta una vulnerabilità critica (CVE-2026-15282) che consente l'upload di file arbitrari a causa della mancanza di validazione del tipo di file nella funzione 'insapp_upload_image_as_attachment'. Ciò rende possibile per gli attaccanti non autenticati caricare file arbitrari sul server del sito web interessato, potenzialmente permettendo l'esecuzione di codice remoto. La vulnerabilità è classificata come critica con un punteggio CVSS di 9.8 e non è stata ancora sfruttata attivamente.
Un attaccante potrebbe sfruttare questa vulnerabilità per caricare file malevoli sul server del sito web, potenzialmente permettendo l'esecuzione di codice remoto e compromettendo la sicurezza del sistema. I sistemi a rischio sono quelli che utilizzano il plugin Instant Appointment per WordPress in versioni fino alla 1.2.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Instant Appointment alla versione più recente disponibile. Inoltre, è importante implementare pratiche di sicurezza generali come il monitoraggio delle attività del sito web, l'uso di firewall e l'aggiornamento regolare dei software e dei plugin.
La vulnerabilità CVE-2026-15282 è una vulnerabilità critica nel plugin Instant Appointment per WordPress che consente l'upload di file arbitrari
La vulnerabilità potrebbe permettere l'esecuzione di codice remoto e compromettere la sicurezza del sistema
Per proteggersi, è consigliato aggiornare il plugin Instant Appointment alla versione più recente disponibile e implementare pratiche di sicurezza generali
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.