PT-2026-58881 · WordPress · Shibboleth

Khaled Alenazi

·

Publicado

2026-07-15

·

Atualizado

2026-07-15

·

CVE-2026-12281

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Shibboleth WordPress plugin versões anteriores a 2.5.4
Description Existe uma falha de bypass de autenticação quando o modo de identidade de cabeçalho HTTP está habilitado sem uma chave anti-spoofing. Nesta configuração, o plugin trata qualquer requisição que contenha cabeçalhos de identidade como uma sessão autenticada sem a devida verificação. Se cabeçalhos de clientes não confiáveis alcançarem a aplicação, um invasor não autenticado pode fazer login usando cabeçalhos de identidade forjados. Além disso, se a criação automática de conta e o mapeamento de função de administrador padrão estiverem habilitados, o invasor pode criar e entrar como um novo administrador. Este problema ocorre quando o modo de atributo de cabeçalho HTTP não padrão está ativo, a chave de spoof está vazia ou ausente, e a implantação não remove os cabeçalhos de clientes não confiáveis antes que eles cheguem à aplicação.
Recommendations Atualize o Shibboleth WordPress plugin para a versão 2.5.4 ou posterior. Como mitigação temporária, certifique-se de que os cabeçalhos de clientes não confiáveis sejam removidos antes de chegarem à aplicação ou configure uma chave anti-spoofing válida.

Exploit

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12281

Produtos afetados

Shibboleth