CVE-2026-8616 in Fense Proxy & VPN Blocker Plugin情報

要約

〜によって VulDB • 2026年07月17日

WordPress用Fense Proxy & VPN Blockerプラグインには、バージョン3.0.1以前において、fense_bpvt_save_settings()関数での権限チェックの欠如およびnonce検証の不備により、データが不正に改変される脆弱性が存在します。このコールバックはwp_ajax_*およびwp_ajax_nopriv_*フックに登録されており、条件分けせずにプラグインオプション4つに対してdelete_option()を呼び出し、プラグインのAPIキーキャッシュや設定に関連する3つのトランジェント(transient)に対してdelete_transient()を呼び出します。これにより、認証されていない攻撃者がプラグインオプションおよびトランジェントを削除することが可能となり、結果としてプラグインのAPIキー/データキャッシュがリセットされ、プラグインが強制的に状態情報を再取得するようになります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年05月14日

モデレーション

承諾済み

エントリ

VDB-379737

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Do you need the next level of professionalism?

Upgrade your account now!