Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-9711
CVSS 9.8 — CRITICO

CVE-2026-9711: Vulnerabilità SQL Injection in EventON

Pubblicato il 2026-06-30 · Fonte: NVD NIST

CVE ID
CVE-2026-9711
CVSS Score
9.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

Il plugin EventON - WordPress Virtual Event Calendar per WordPress presenta una vulnerabilità di SQL Injection a causa di un insufficiente escaping dei parametri utente e della mancanza di preparazione delle query SQL esistenti. Ciò consente ad attaccanti non autenticati di aggiungere query SQL aggiuntive a quelle esistenti, potenzialmente estraeendo informazioni sensibili dal database se l'impostazione 'Abilita ulteriori query di ricerca' è abilitata e esiste almeno un evento pubblicato. La vulnerabilità è classificata come critica con un punteggio CVSS di 9.8.

Impatto

Un attaccante potrebbe sfruttare questa vulnerabilità per estrarre dati sensibili dal database, inclusi eventuali dati utente o informazioni relative agli eventi. Ciò potrebbe avere conseguenze significative per la sicurezza e la privacy dei dati degli utenti. I sistemi a rischio sono quelli che utilizzano il plugin EventON di WordPress fino alla versione 5.0.11 inclusa.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin EventON alla versione più recente disponibile. Inoltre, è fondamentale assicurarsi che tutte le query SQL siano adeguatamente preparate e che i parametri utente siano correttamente sanitizzati per prevenire iniezioni SQL. Se non è possibile aggiornare immediatamente, si possono applicare workaround come disabilitare l'impostazione 'Abilita ulteriori query di ricerca' o limitare l'accesso al plugin solo agli utenti autenticati.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-9711?

La vulnerabilità CVE-2026-9711 è una vulnerabilità di SQL Injection nel plugin EventON di WordPress che consente ad attaccanti non autenticati di eseguire query SQL aggiuntive.

Qual è l'impatto di questa vulnerabilità?

L'impatto di questa vulnerabilità può essere critico, poiché gli attaccanti possono estrarre informazioni sensibili dal database.

Come proteggersi da CVE-2026-9711?

Per proteggersi, è necessario aggiornare il plugin EventON alla versione più recente, assicurarsi che le query SQL siano preparate correttamente e che i parametri utente siano sanitizzati.

Fonti ufficiali

🔗 NVD NIST — CVE-2026-9711

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.