CVE-2026-5523 in Divi Form Builder Plugininfo

Zusammenfassung

von VulDB • 09.07.2026

Das WordPress-Plugin „Divi Form Builder“ ist in den Versionen bis einschließlich 5.1.8 anfällig für Missing Authorization (fehlende Autorisierung). Dies liegt daran, dass die Funktion `update_user()` einen Benutzer-ID-Parameter aus Formularübermittlungen akzeptiert, ohne zu überprüfen, ob der authentifizierte Benutzer über die Berechtigung verfügt, dieses bestimmte Benutzerkonto zu bearbeiten. Zudem prüft die Funktion `handle_register_submission()` lediglich, ob ein Benutzer angemeldet ist, anstatt die Berechtigungen für das Zielbenutzerkonto zu validieren. Dies ermöglicht es authentifizierten Angreifern mit Zugriffsrechten auf Abonnement-Ebene und höher, die E-Mail-Adresse und das Passwort jedes Benutzerkontos – einschließlich Administratoren – zu ändern, was zum vollständigen Übernahme der Konten führt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

04.04.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377119

CPE

bereit

EPSS

0.00309

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!