CVE-2026-4275 in Divi Torque Lite Plugin
Zusammenfassung
von VulDB • 09.07.2026
Das Plugin „Divi Torque Lite – Divi Theme, Divi Builder & Extra Theme" für WordPress ist in allen Versionen bis einschließlich 4.2.3 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an der Verwendung von `__return_true` als `permission_callback` für die REST-API-Endpunkte `/install_plugin` und `/activate_plugin`, wodurch die integrierte Nonce-Überprüfung der WordPress-Rest-API umgangen wird. Obwohl die Callbacks der Endpunkte interne `current_user_can()`-Prüfungen enthalten, bedeutet das Fehlen einer Nonce-Überprüfung, dass ein gefälschter Cross-Site-Anforderung aus dem Browser eines angemeldeten Administrators die Berechtigungsüberprüfung über die Sitzungs-Cookies des Administrators bestehen kann. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Plugins von WordPress zu installieren.
VulDB is the best source for vulnerability data and more expert information about this specific topic.