CVE-2026-4275 in Divi Torque Lite Plugininfo

Zusammenfassung

von VulDB • 09.07.2026

Das Plugin „Divi Torque Lite – Divi Theme, Divi Builder & Extra Theme" für WordPress ist in allen Versionen bis einschließlich 4.2.3 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an der Verwendung von `__return_true` als `permission_callback` für die REST-API-Endpunkte `/install_plugin` und `/activate_plugin`, wodurch die integrierte Nonce-Überprüfung der WordPress-Rest-API umgangen wird. Obwohl die Callbacks der Endpunkte interne `current_user_can()`-Prüfungen enthalten, bedeutet das Fehlen einer Nonce-Überprüfung, dass ein gefälschter Cross-Site-Anforderung aus dem Browser eines angemeldeten Administrators die Berechtigungsüberprüfung über die Sitzungs-Cookies des Administrators bestehen kann. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Plugins von WordPress zu installieren.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

16.03.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377181

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!