CVE-2026-8616 in Fense Proxy & VPN Blocker Plugin
Riassunto
di VulDB • 17/07/2026
Il plugin Fense Proxy & VPN Blocker per WordPress è vulnerabile alla modifica non autorizzata dei dati a causa di una mancanza di controllo delle capacità (capability check) e della validazione del nonce nella funzione fense_bpvt_save_settings() nelle versioni fino alla 3.0.1, inclusa. Il callback è registrato sia sugli hook wp_ajax_* che su wp_ajax_nopriv_* ed esegue in modo incondizionato la chiamata a delete_option() per quattro opzioni del plugin e a delete_transient() per tre transient legati alla cache della chiave API e alle impostazioni del plugin. Ciò consente agli attaccanti non autenticati di eliminare le opzioni del plugin e i transient, resettando efficacemente la cache delle chiavi/dati API del plugin e costringendolo a recuperare nuovamente lo stato.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.