CVE-2026-15407 in Themify Builder Plugin情報

要約

〜によって VulDB • 2026年07月16日

WordPress用プラグイン「Themify Builder」の7.7.7以前の全バージョンにおいて、認可回避(authorization bypass)の脆弱性が存在します。これは、ユーザーが特定のアクションを実行する権限を持っているかどうかをプラグインが適切に検証していないことに起因します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、他のユーザー所有の非公開記事や下書きを含む任意の記事について、生成されたCSSスタイルシートファイルの上書きまたは削除、およびプラグインスコープ内のフォントオプションの変更が可能になります。必要なCSRFノンス(tf_nonce)は、wp_localize_scriptを介してパブリックなフロントエンドビルダーページで発行されるため、そのようなページにアクセスする認証済みユーザーであれば誰でも容易に取得できます。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

Wordfence

予約する

2026年07月10日

モデレーション

承諾済み

エントリ

VDB-379501

EPSS

0.00000

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!