Pubblicato il 2026-07-09 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58143 è una cross-site request forgery (CSRF) che colpisce Cotonti Siena 0.9.26 e versioni precedenti. Questa vulnerabilità consente agli attaccanti non autenticati di modificare la configurazione dell'amministratore, sfruttando il fatto che il gestore di aggiornamento della configurazione in admin.php non invoca la funzione di validazione CSRF dell'applicazione. Ciò può portare a conseguenze gravi, come l'abilitazione dell'upload di file PHP arbitrari sul server.
Un attaccante può sfruttare questa vulnerabilità per disabilitare il modulo PFS (Private File System) e il suo elenco di estensioni di file consentite, consentendo così a qualsiasi utente con accesso al PFS di caricare ed eseguire file PHP arbitrari sul server. Ciò potrebbe portare a un accesso non autorizzato al sistema e potenziali attacchi di tipo ransomware o altre minacce.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile aggiornare Cotonti Siena alla versione più recente disponibile, che dovrebbe includere patch per la correzione di questa vulnerabilità. Inoltre, è importante adottare pratiche di sicurezza generali, come utilizzare token di sicurezza per le richieste POST e limitare l'accesso al PFS solo agli utenti autorizzati. È anche fondamentale monitorare regolarmente il sistema per rilevare eventuali attività sospette.
La vulnerabilità CVE-2026-58143 è una cross-site request forgery (CSRF) che colpisce Cotonti Siena 0.9.26 e versioni precedenti, consentendo agli attaccanti di eseguire azioni non autorizzate.
Le conseguenze includono la possibilità per gli attaccanti di disabilitare il modulo PFS e caricare ed eseguire file PHP arbitrari sul server, portando a potenziali attacchi di tipo ransomware o altre minacce.
Per proteggersi, è consigliabile aggiornare Cotonti Siena alla versione più recente disponibile e adottare pratiche di sicurezza generali, come utilizzare token di sicurezza per le richieste POST e limitare l'accesso al PFS solo agli utenti autorizzati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.