CVE-2026-15407 in Themify Builder Plugin
Resumen
por VulDB • 2026-07-16
El plugin Themify Builder para WordPress es vulnerable a una elusión de autorización en todas las versiones hasta la 7.7.7 (incluida). Esto se debe a que el plugin no verifica correctamente si un usuario está autorizado para realizar una acción. Esto permite a los atacantes autenticados, con acceso de nivel suscriptor o superior, sobrescribir o eliminar el archivo CSS generado por cualquier publicación, incluidas las publicaciones privadas y borradores propiedad de otros usuarios, así como modificar las opciones de fuentes del plugin. El nonce CSRF requerido (tf_nonce) se emite en las páginas públicas del constructor frontal mediante wp_localize_script, lo que hace que sea trivialmente obtenible para cualquier usuario autenticado que visite dicha página.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.