CVE-2026-13250 in Starter Template featureinformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin Solace Extra per WordPress è vulnerabile a una violazione delle autorizzazioni (authorization bypass) in tutte le versioni fino alla 1.5.3, inclusa. Ciò è dovuto al fatto che il plugin non verifica correttamente se un utente è autorizzato a eseguire un'azione. Questo consente agli attaccanti non autenticati di eliminare permanentemente tutti i contenuti precedentemente importati tramite la funzionalità Starter Template, inclusi post, pagine, allegati multimediali, prodotti WooCommerce, termini di tassonomia e template dello sitebuilder. Il nonce richiesto viene emesso in ogni pagina wp-admin tramite wp_localize_script() agganciato a admin_enqueue_scripts senza un controllo di accesso alla pagina (page guard), il che significa che qualsiasi utente con ruolo Subscriber visitando /wp-admin/profile.php può ottenerlo; l'handler è inoltre registrato tramite wp_ajax_nopriv_, rendendolo raggiungibile anche da utenti completamente non autenticati.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Wordfence

Prenotare

24/06/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!