CISA inserisce CVE-2026-0257 nel KEV mentre GlobalProtect e WP Maps Pro compromettono 15.000 siti

CISA inserisce CVE-2026-0257 nel catalogo Known Exploited Vulnerabilities mentre attacchi reali colpiscono la VPN GlobalProtect di Palo Alto Networks e il plugin WP Maps Pro per WordPress, creando un doppio fronte di rischio per infrastrutture enterprise e siti web esposti. La vulnerabilità su PAN-OS consente un authentication bypass nel portale e nel gateway GlobalProtect, permettendo agli aggressori di stabilire connessioni VPN non autorizzate senza credenziali valide in determinate configurazioni legate ai cookie di override dell’autenticazione. In parallelo, CVE-2026-8732 in WP Maps Pro permette a utenti non autenticati di creare account amministratore completi su siti WordPress vulnerabili, con un impatto potenziale su oltre 15.000 installazioni attive. I due casi colpiscono ambienti diversi, ma condividono lo stesso elemento critico: l’accesso privilegiato senza autenticazione valida. Per aziende, amministratori di sistema, team DevSecOps e gestori WordPress, la finestra di intervento è immediata perché gli exploit risultano già osservati in attività reali.

CVE-2026-0257 espone GlobalProtect al bypass dell’autenticazione

La vulnerabilità CVE-2026-0257 riguarda la componente GlobalProtect di Palo Alto Networks e consente il bypass dell’autenticazione nel portale e nel gateway basati su PAN-OS. Il difetto nasce dalla gestione dei cookie di override dell’autenticazione, che in determinate configurazioni non vengono verificati correttamente rispetto alla firma attesa. Quando lo stesso certificato viene riutilizzato sia per i servizi HTTPS sia per i cookie di override, un aggressore può ottenere la chiave pubblica esposta, forgiare cookie apparentemente validi e indurre il dispositivo ad accettarli come legittimi. Il risultato è particolarmente grave perché consente l’accesso VPN senza credenziali valide, trasformando una componente progettata per proteggere l’accesso remoto in un punto di ingresso verso la rete interna. Gli attacchi osservati partono dal 17 maggio 2026 e coinvolgono infrastrutture riconducibili a Vultr e Dromatics Systems, con tentativi diretti contro l’account amministratore locale. Palo Alto Networks aggiorna la severity a High proprio in seguito alla conferma di exploit attivi su dispositivi non patchati. La vulnerabilità interessa versioni specifiche di PAN-OS 12.1, PAN-OS 11.2, PAN-OS 11.1, PAN-OS 10.2 e alcune build di Prisma Access, imponendo una verifica immediata delle appliance esposte, soprattutto negli ambienti dove GlobalProtect viene usata per accesso remoto di dipendenti, fornitori, amministratori e sistemi critici.

CISA porta CVE-2026-0257 nel catalogo Known Exploited Vulnerabilities

L’inserimento di CVE-2026-0257 nel catalogo Known Exploited Vulnerabilities da parte di CISA il 29 maggio 2026 conferma che la falla non è più un rischio teorico ma una vulnerabilità sfruttata in attacchi reali. Il catalogo KEV raccoglie vulnerabilità per le quali esistono prove concrete di sfruttamento attivo e viene utilizzato come riferimento operativo per accelerare la remediation negli ambienti federali e, indirettamente, anche nel settore privato. In base alla Binding Operational Directive 22-01, le agenzie federali civili statunitensi devono rimediare entro il 1 giugno 2026, una scadenza estremamente ravvicinata che riflette la gravità del vettore.

CVE-2026-0257 Palo Alto Networks PAN-OS Authentication Bypass Vulnerability

La presenza nel KEV indica che gli attaccanti stanno già usando la falla come punto d’ingresso frequente e che i sistemi non aggiornati rappresentano un bersaglio immediato. Gli amministratori devono verificare se il portale o il gateway GlobalProtect abbia abilitato i cookie di authentication override e se lo stesso certificato venga condiviso con servizi HTTPS. La configurazione sicura prevede l’uso di certificati dedicati per i cookie di override oppure la disabilitazione completa della funzione quando non strettamente necessaria. Anche nei casi in cui gli exploit osservati non completano sempre una sessione VPN pienamente operativa, la possibilità di forgiare cookie e tentare accessi non autorizzati resta sufficiente per classificare la minaccia come punto di ingresso critico, soprattutto in reti dove la VPN protegge segmenti interni, strumenti amministrativi, servizi cloud ibridi e asset di produzione.

WP Maps Pro permette la creazione di amministratori WordPress senza login

Il secondo fronte riguarda WP Maps Pro, plugin WordPress installato su oltre 15.000 siti, colpito dalla vulnerabilità CVE-2026-8732 fino alla versione 6.1.0 inclusa. La falla, scoperta da Wordfence il 24 marzo 2026 grazie al ricercatore David Brown, consente a un utente non autenticato di creare un account amministratore completo attraverso una funzione di accesso temporaneo implementata in modo insicuro. Il problema risiede in un endpoint AJAX esposto anche agli utenti non autenticati tramite l’azione wpgmp_temp_access_ajax registrata con wp_ajax_nopriv_. Il controllo nonce previsto solo nel JavaScript frontend risulta inefficace perché accessibile pubblicamente, mentre il backend non esegue un controllo adeguato delle capability dell’utente. Un aggressore può inviare una richiesta crafted con il parametro check_temp impostato a false, inducendo il plugin a richiamare wpgmp_temp_access_support e a creare un nuovo utente tramite wp_insert_user con ruolo amministratore fisso. Il nome utente viene generato casualmente con prefisso fc_user_, mentre l’email usata è [email protected]. Il plugin genera quindi un magic login URL passwordless, lo memorizza nei meta utente e lo restituisce nel corpo della risposta JSON. L’attaccante deve solo visitare quel link per ottenere accesso amministrativo completo al sito, senza password e senza credenziali precedenti.

La root cause di WP Maps Pro mostra un errore grave di controllo privilegi

La root cause di CVE-2026-8732 in WP Maps Pro è un errore classico ma devastante di controllo dei privilegi lato server. La funzione vulnerabile non verifica correttamente se il richiedente sia un amministratore autenticato prima di creare un account con privilegi elevati. La patch rilasciata nella versione 6.1.1 il 20 maggio 2026 introduce un controllo current_user_can(manage_options), limitando l’endpoint agli amministratori già autenticati e chiudendo il vettore di privilege escalation non autenticata. Prima della correzione, però, la sequenza di exploit era estremamente lineare: richiesta AJAX pubblica, creazione utente amministratore tramite wp_insert_user, generazione del login passwordless con generate_login_link, restituzione dell’URL magico e accesso immediato alla dashboard WordPress. Una volta dentro come amministratore, l’attaccante può installare plugin malevoli, modificare file tema, inserire webshell, cambiare configurazioni, creare ulteriori utenti nascosti, rubare dati personali, iniettare redirect SEO spam, alterare contenuti editoriali o preparare una compromissione persistente. Wordfence ha rilasciato una regola firewall il 18 maggio 2026 per gli utenti Premium e la renderà disponibile agli utenti Free il 17 giugno 2026, ma l’aggiornamento del plugin resta la misura principale perché la protezione firewall non sostituisce la correzione del codice vulnerabile. La gravità CVSS 9.8 riflette proprio la combinazione tra exploitabilità remota, assenza di autenticazione e impatto totale sul sito.

Oltre 15.000 siti WordPress rischiano takeover completi

L’impatto su WordPress è particolarmente serio perché WP Maps Pro conta oltre 15.000 installazioni attive e viene usato per funzionalità di mappe interattive in siti aziendali, directory, portali locali, attività commerciali e piattaforme editoriali. Gli exploit attivi osservati da Wordfence, con oltre 3.600 tentativi bloccati nelle ultime 24 ore, mostrano che la vulnerabilità viene già sfruttata in modo automatizzato. La creazione di un account amministratore richiede pochi secondi e può non produrre segnali immediatamente visibili al proprietario del sito. Una volta ottenuto il controllo, l’attaccante può trasformare WordPress in un nodo per campagne di phishing, distribuzione malware, furto dati, redirect fraudolenti o spam SEO, danneggiando reputazione, traffico organico e sicurezza degli utenti. I siti vulnerabili rischiano anche l’installazione di backdoor persistenti che sopravvivono alla rimozione superficiale dell’account creato durante l’attacco. Gli amministratori devono quindi verificare immediatamente la presenza del plugin, aggiornare a WP Maps Pro 6.1.1, controllare gli utenti con prefisso fc_user_, cercare email [email protected], analizzare log relativi all’endpoint wpgmp_temp_access_ajax e ispezionare plugin, temi e file modificati dopo eventuali tentativi sospetti. Nei casi di compromissione confermata, la semplice patch non basta: serve una bonifica completa dell’istanza WordPress, compresa rotazione delle credenziali, verifica degli amministratori, controllo del database e scansione dei file.

GlobalProtect e WP Maps Pro mostrano lo stesso schema di accesso privilegiato

Gli attacchi contro GlobalProtect e WP Maps Pro colpiscono livelli diversi dello stack, ma condividono una dinamica comune: l’ottenimento di accesso privilegiato senza autenticazione valida. Nel caso CVE-2026-0257, l’obiettivo è entrare nella rete aziendale attraverso una VPN sfruttando cookie di override forgiati; nel caso CVE-2026-8732, l’obiettivo è prendere il controllo di un sito WordPress creando direttamente un amministratore. La prima vulnerabilità minaccia reti enterprise, accesso remoto, segmenti interni e asset protetti da PAN-OS; la seconda espone siti pubblici a takeover, persistenza e abuso infrastrutturale. Entrambe però offrono agli aggressori un salto immediato di fiducia: da esterni non autenticati a soggetti in grado di agire dentro un ambiente protetto. Questo è il motivo per cui ransomware operator, broker di accesso iniziale, gruppi di data exfiltration e criminali opportunisti monitorano con attenzione falle di questo tipo. Una VPN compromessa può diventare porta d’ingresso verso Active Directory, file server, workload cloud e sistemi amministrativi; un WordPress compromesso può diventare infrastruttura di phishing, malware hosting, redirect malevoli o furto dati. L’attività osservata su infrastrutture cloud e i tentativi automatizzati contro plugin WordPress confermano che il tempo tra disclosure, patch e weaponization è sempre più ridotto. Il vulnerability management deve quindi abbandonare logiche lente e trimestrali e trattare le vulnerabilità sfruttate attivamente come incidenti operativi da gestire con priorità massima.

Le mitigazioni urgenti richiedono patch, configurazione e controllo dei log

Le misure di mitigazione devono partire dall’aggiornamento immediato dei sistemi vulnerabili. Gli amministratori PAN-OS devono applicare le patch indicate da Palo Alto Networks per le versioni interessate di PAN-OS 12.1, 11.2, 11.1 e 10.2, verificare le build di Prisma Access coinvolte e controllare la configurazione di GlobalProtect. La difesa corretta prevede certificati dedicati per i cookie di authentication override, evitando il riutilizzo dello stesso certificato dei servizi HTTPS, oppure la disabilitazione completa della generazione e accettazione dei cookie quando non necessaria. I log di GlobalProtect devono essere analizzati per tentativi sospetti, uso anomalo dell’account amministratore locale, richieste provenienti da infrastrutture cloud inattese e pattern compatibili con cookie forgiati. Per WP Maps Pro, la misura prioritaria è l’aggiornamento alla versione 6.1.1, seguita da verifica degli utenti amministratori, ricerca di account fc_user_, controllo dell’email [email protected], analisi dei log AJAX e ispezione di file modificati. Gli utenti Wordfence Premium dispongono già della regola firewall, mentre gli utenti Free devono considerare l’intervallo fino al 17 giugno 2026 come una finestra di esposizione da compensare con aggiornamento immediato e controlli manuali. La combinazione di patch, hardening, monitoraggio dei log e verifica degli account riduce il rischio, ma non sostituisce una revisione post-compromissione se il sito o la VPN risultano già bersagliati.

L’impatto conferma la centralità del KEV e della sicurezza WordPress

L’impatto complessivo di CVE-2026-0257 e CVE-2026-8732 conferma il ruolo centrale del catalogo CISA KEV e della sicurezza dell’ecosistema WordPress nella gestione delle minacce attive. La presenza di una vulnerabilità nel KEV indica che non basta classificare il rischio sulla base del punteggio CVSS o della criticità teorica: ciò che conta è l’evidenza di sfruttamento reale. Nel caso GlobalProtect, una falla High in una VPN enterprise può avere impatto critico perché protegge l’accesso remoto alla rete interna. Nel caso WP Maps Pro, una vulnerabilità CVSS 9.8 consente takeover immediato di siti pubblici con installazioni diffuse. La risposta coordinata di CISA, Palo Alto Networks, Wordfence e del vendor del plugin mostra quanto la remediation debba essere rapida quando gli exploit sono già in corso. Per le organizzazioni enterprise, il caso rafforza la necessità di inventari aggiornati, esposizione ridotta delle VPN, gestione corretta dei certificati e patching prioritario delle vulnerabilità KEV. Per i gestori WordPress, conferma invece che ogni plugin con endpoint pubblici, funzioni temporanee o accessi passwordless deve essere trattato come componente ad alto rischio. La sicurezza non dipende solo dalla presenza della patch, ma dalla velocità con cui viene applicata e dalla capacità di verificare se l’attacco sia già avvenuto.