CVE-2026-15407 in Themify Builder Plugin
要約
〜によって VulDB • 2026年07月16日
WordPress用プラグイン「Themify Builder」の7.7.7以前の全バージョンにおいて、認可回避(authorization bypass)の脆弱性が存在します。これは、ユーザーが特定のアクションを実行する権限を持っているかどうかをプラグインが適切に検証していないことに起因します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、他のユーザー所有の非公開記事や下書きを含む任意の記事について、生成されたCSSスタイルシートファイルの上書きまたは削除、およびプラグインスコープ内のフォントオプションの変更が可能になります。必要なCSRFノンス(tf_nonce)は、wp_localize_scriptを介してパブリックなフロントエンドビルダーページで発行されるため、そのようなページにアクセスする認証済みユーザーであれば誰でも容易に取得できます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.