Pubblicato il 2026-07-11 · Fonte: NVD NIST
La vulnerabilità CVE-2026-7655 è stata scoperta nel plugin SureCart per WordPress, che non valida correttamente l'identità degli utenti prima di aggiornare i loro dettagli. Ciò consente a degli attaccanti non autenticati di modificare gli indirizzi email degli utenti collegati, compresi gli amministratori, se il loro account è collegato a un record del cliente SureCart. La versione interessata è fino alla 4.2.3. La gravità di questa vulnerabilità è classificata come alta, con un punteggio CVSS di 8.1.
Un attaccante può sfruttare questa vulnerabilità per modificare l'indirizzo email di un utente, incluso un amministratore, e successivamente utilizzare la funzione di reset della password per ottenere l'accesso all'account. Ciò può portare a un controllo completo del sistema, con la possibilità di eseguire azioni dannose come la modifica dei dati o l'installazione di malware. I sistemi a rischio sono quelli che utilizzano il plugin SureCart per WordPress, in particolare le versioni fino alla 4.2.3.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin SureCart alla versione più recente disponibile. Inoltre, è importante assicurarsi che tutte le funzionalità di autenticazione e autorizzazione siano correttamente implementate e configurate. In generale, è buona pratica mantenere tutti i software e i plugin aggiornati con le ultime patch di sicurezza e utilizzare soluzioni di sicurezza come firewall e sistemi di rilevamento delle intrusioni per proteggere i sistemi da attacchi.
La vulnerabilità CVE-2026-7655 è una vulnerabilità di escalation dei privilegi nel plugin SureCart per WordPress, che consente a degli attaccanti non autenticati di modificare gli indirizzi email degli utenti collegati.
Le versioni del plugin SureCart interessate sono quelle fino alla 4.2.3.
Per proteggersi da questa vulnerabilità, è consigliabile aggiornare il plugin SureCart alla versione più recente disponibile e assicurarsi che tutte le funzionalità di autenticazione e autorizzazione siano correttamente implementate e configurate.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.