
È stata scoperta una vulnerabilità gravissima nel plugin WordPress «miniOrange OAuth SSO» (versioni fino alla 38.5.8) che permette di bypassare l’autenticazione tramite una procedura alternativa di recupero password. Ciò consente ad attaccanti di assumere il controllo di account sul tuo sito, con rischi elevatissimi per la sicurezza.
Cosa è successo
Il plugin miniOrange OAuth Single Sign On – SSO (OAuth Client), usato per implementare login con provider esterni in WordPress, è affetto da una vulnerabilità di autenticazione (Broken Authentication/CVE‑2026‑57807) nelle versioni fino alla 38.5.8.
Questo difetto permette ad utenti non autenticati di sfruttare un percorso alternativo (relativo al recupero della password) per ottenere l’accesso a qualsiasi account, compresi quelli con privilegi amministrativi — con un punteggio di gravità CVSS pari a 9.8 (Critical).
Perché è importante
Per siti aziendali, e-commerce o progetti WordPress gestiti da PMI, questa vulnerabilità rappresenta un pericolo diretto:
- Un attaccante può prendere possesso di account amministrativi, mettendo a rischio l’intero sito.
- Si possono installare plugin malevoli, modificare contenuti o trafugare dati sensibili (clienti, ordini, credenziali, ecc.).
- Non serve un’abilità tecnica avanzata: basta sfruttare il percorso di recupero password alternativo.
Cosa fare adesso
- Aggiorna immediatamente il plugin alla versione più recente non vulnerabile, se disponibile.
- Se l’aggiornamento non è disponibile, disattiva temporaneamente il plugin per bloccare ogni possibile exploit.
- Monitora i log di accesso e le attività anomale, in particolare log-in inattesi o modifiche admin.
- Attiva l’autenticazione a due fattori (2FA) per gli account amministrativi, così da rendere più difficile l’accesso anche in caso di compromissione.
- Valuta l’adozione di web application firewall (WAF) o regole di mitigazione automatiche come quelle offerte da Patchstack per bloccare l’attacco in attesa della patch.
Come ti aiuta Evo Sistemi
Da Evo Sistemi possiamo supportarti in modo concreto:
- Realizzazione siti web: verifichiamo i plugin installati, effettuiamo aggiornamenti e operiamo preventive verifiche di sicurezza.
- Sicurezza informatica: attiviamo protezioni come firewall, monitoraggio continuo e mitigazioni urgenti per bloccare exploit.
- SEO e posizionamento: proteggiamo la reputazione online del tuo sito anche durante la crisi, evitando penalizzazioni in caso di attacco.
Se vuoi una verifica rapida o una consulenza, contattaci.
Domande frequenti
Cos’è esattamente questa vulnerabilità?
È un bug (CVE‑2026‑57807) nel plugin miniOrange OAuth SSO che consente a utenti non autenticati di accedere a qualsiasi account sfruttando un percorso di recupero password alternativo.
Il mio sito è a rischio anche se non uso recovery via OAuth?
Sì. Il problema sfrutta un meccanismo interno del plugin, quindi anche se non usi attivamente il recovery tramite OAuth, sei comunque esposto se il plugin è installato nelle versioni vulnerabili.
Se aggiorno il plugin, sono al sicuro?
Aggiornare è indispensabile e riduce subito il rischio. Tuttavia, è consigliabile anche monitorare eventuali attività sospette e mantenere attiva la protezione tramite 2FA e sistemi di difesa continui.