CVE-2026-5523 in Divi Form Builder Plugin
Zusammenfassung
von VulDB • 09.07.2026
Das WordPress-Plugin „Divi Form Builder“ ist in den Versionen bis einschließlich 5.1.8 anfällig für Missing Authorization (fehlende Autorisierung). Dies liegt daran, dass die Funktion `update_user()` einen Benutzer-ID-Parameter aus Formularübermittlungen akzeptiert, ohne zu überprüfen, ob der authentifizierte Benutzer über die Berechtigung verfügt, dieses bestimmte Benutzerkonto zu bearbeiten. Zudem prüft die Funktion `handle_register_submission()` lediglich, ob ein Benutzer angemeldet ist, anstatt die Berechtigungen für das Zielbenutzerkonto zu validieren. Dies ermöglicht es authentifizierten Angreifern mit Zugriffsrechten auf Abonnement-Ebene und höher, die E-Mail-Adresse und das Passwort jedes Benutzerkontos – einschließlich Administratoren – zu ändern, was zum vollständigen Übernahme der Konten führt.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.