Pubblicato il 2026-07-06 · Fonte: NVD NIST
La vulnerabilità CVE-2026-59712 colpisce il metodo Users::getUser dell'API JSON-RPC, che manca di controlli di autorizzazione adeguati. Ciò consente agli utenti autenticati di recuperare le credenziali complete degli utenti, inclusi hash delle password, segreti TOTP e token di sessione. Gli attaccanti possono sfruttare questa vulnerabilità per enumerare tutti gli account e ottenere credenziali per attacchi di cracking delle password e hijacking di sessioni. La CVSS Score di 8.1 indica un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per recuperare le credenziali complete degli utenti, inclusi hash delle password e token di sessione. Ciò può consentire attacchi di cracking delle password, bypass di autenticazione a due fattori e hijacking di sessioni. I sistemi a rischio sono quelli che utilizzano l'API JSON-RPC con il metodo Users::getUser.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di applicare patch di sicurezza o di configurare l'API JSON-RPC per richiedere controlli di autorizzazione adeguati. Inoltre, è importante implementare pratiche di sicurezza generiche, come l'utilizzo di password complesse e l'abilitazione dell'autenticazione a due fattori. In assenza di patch specifiche, è possibile implementare workaround, come la limitazione dell'accesso all'API JSON-RPC o la monitorizzazione delle attività sospette.
La vulnerabilità CVE-2026-59712 è una vulnerabilità di autorizzazione che colpisce il metodo Users::getUser dell'API JSON-RPC, consentendo agli utenti autenticati di recuperare credenziali complete degli utenti.
L'impatto della vulnerabilità è alto, poiché consente agli attaccanti di recuperare credenziali complete degli utenti e di eseguire attacchi di cracking delle password e hijacking di sessioni.
Per proteggersi da questa vulnerabilità, è possibile applicare patch di sicurezza, configurare l'API JSON-RPC per richiedere controlli di autorizzazione adeguati e implementare pratiche di sicurezza generiche, come l'utilizzo di password complesse e l'abilitazione dell'autenticazione a due fattori.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.