Pubblicato il 2026-07-12 · Fonte: NVD NIST
La vulnerabilità CVE-2026-56313 è una cross-organization account disruption che colpisce il endpoint SSO prelink, permettendo agli amministratori di eliminare le identità di password degli utenti di organizzazioni esterne. Gli attaccanti con permesso org.update_settings e un fornitore SSO attivo possono chiamare l'endpoint prelink-users per rimuovere permanentemente l'autenticazione basata su email per qualsiasi utente che corrisponda al dominio email del fornitore. Ciò costringe le vittime a utilizzare il fornitore SSO dell'attaccante o a completare la procedura di recupero della password.
Un attaccante può sfruttare questa vulnerabilità per eliminare le identità di password degli utenti, costringendoli a utilizzare un fornitore di SSO non autorizzato. Ciò può avere un impatto significativo sulla sicurezza e sull'autenticazione degli utenti. I sistemi a rischio sono quelli che utilizzano l'endpoint SSO prelink e hanno un fornitore SSO attivo.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il sistema alla versione più recente disponibile, che include la patch per la vulnerabilità CVE-2026-56313. Inoltre, è importante limitare i permessi di accesso agli amministratori e monitorare l'attività del sistema per rilevare eventuali tentativi di sfruttamento della vulnerabilità.
La vulnerabilità CVE-2026-56313 è una cross-organization account disruption che colpisce l'endpoint SSO prelink, permettendo agli amministratori di eliminare le identità di password degli utenti di organizzazioni esterne.
Gli attaccanti con permesso org.update_settings e un fornitore SSO attivo possono chiamare l'endpoint prelink-users per rimuovere permanentemente l'autenticazione basata su email per qualsiasi utente che corrisponda al dominio email del fornitore.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il sistema alla versione più recente disponibile e limitare i permessi di accesso agli amministratori.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.