~/news/cve-2026-12417
CRITICALCVSS 9.8CVE-2026-1241724/06/2026 - 08:24

CVE-2026-12417: Bypass de Autenticação no Plugin SignUp & SignIn

A vulnerabilidade permite que atacantes não autenticados alterem a senha de qualquer usuário do WordPress, incluindo administradores, por meio de uma requisição POST maliciosa. Isso ocorre devido à falta de verificação de nonce e capacidade no handler AJAX pravel_change_password. O impacto real é a possibilidade de um atacante tomar controle total de uma conta, alcançando privilégios de administrador no site afetado.

Bypass de AutenticaçãoPrivilege EscalationWordPressUnauthenticated
← voltarfonte original ↗

CVE: CVE-2026-12417

Severidade: CRITICAL

Resumo:

A vulnerabilidade permite que atacantes não autenticados alterem a senha de qualquer usuário do WordPress, incluindo administradores, por meio de uma requisição POST maliciosa. Isso ocorre devido à falta de verificação de nonce e capacidade no handler AJAX pravel_change_password. O impacto real é a possibilidade de um atacante tomar controle total de uma conta, alcançando privilégios de administrador no site afetado.

CVSS: 9.8