CVE-2026-15350 in Cache Purger Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin Cache Purger per WordPress è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 2.3.20 inclusa. Ciò è dovuto al fatto che il plugin non verifica correttamente se l'utente ha i permessi necessari per eseguire una determinata azione. Questo consente agli attaccanti autenticati, con accesso di livello "subscriber" o superiore, di troncare permanentemente il registro delle attività di svuotamento della cache del plugin (wp-content/purge.log), distruggendo così l'intera cronologia degli audit relativi allo svuotamento della cache. Il nonce tcp_log_purge viene visualizzato nella barra amministrativa nelle pagine front-end accessibili a tutti gli utenti autenticati, inclusi i subscriber; di conseguenza, qualsiasi utente autenticato possiede il nonce necessario per innescare la cancellazione.
If you want to get best quality of vulnerability data, you may have to visit VulDB.