Servizi
Vulnerabilità critica in miniOrange OAuth SSO: proteggi il tuo sito…

È stata scoperta una vulnerabilità gravissima nel plugin WordPress «miniOrange OAuth SSO» (versioni fino alla 38.5.8) che permette di bypassare l’autenticazione tramite una procedura alternativa di recupero password. Ciò consente ad attaccanti di assumere il controllo di account sul tuo sito, con rischi elevatissimi per la sicurezza.

Cosa è successo

Il plugin miniOrange OAuth Single Sign On – SSO (OAuth Client), usato per implementare login con provider esterni in WordPress, è affetto da una vulnerabilità di autenticazione (Broken Authentication/CVE‑2026‑57807) nelle versioni fino alla 38.5.8.

Questo difetto permette ad utenti non autenticati di sfruttare un percorso alternativo (relativo al recupero della password) per ottenere l’accesso a qualsiasi account, compresi quelli con privilegi amministrativi — con un punteggio di gravità CVSS pari a 9.8 (Critical).

Perché è importante

Per siti aziendali, e-commerce o progetti WordPress gestiti da PMI, questa vulnerabilità rappresenta un pericolo diretto:

Cosa fare adesso

Come ti aiuta Evo Sistemi

Da Evo Sistemi possiamo supportarti in modo concreto:

Se vuoi una verifica rapida o una consulenza, contattaci.

Domande frequenti

Cos’è esattamente questa vulnerabilità?

È un bug (CVE‑2026‑57807) nel plugin miniOrange OAuth SSO che consente a utenti non autenticati di accedere a qualsiasi account sfruttando un percorso di recupero password alternativo.

Il mio sito è a rischio anche se non uso recovery via OAuth?

Sì. Il problema sfrutta un meccanismo interno del plugin, quindi anche se non usi attivamente il recovery tramite OAuth, sei comunque esposto se il plugin è installato nelle versioni vulnerabili.

Se aggiorno il plugin, sono al sicuro?

Aggiornare è indispensabile e riduce subito il rischio. Tuttavia, è consigliabile anche monitorare eventuali attività sospette e mantenere attiva la protezione tramite 2FA e sistemi di difesa continui.

Fonte: Reddit (WordPress subreddit citando CVE).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *