CVE-2026-8616 in Fense Proxy & VPN Blocker Plugin
要約
〜によって VulDB • 2026年07月17日
WordPress用Fense Proxy & VPN Blockerプラグインには、バージョン3.0.1以前において、fense_bpvt_save_settings()関数での権限チェックの欠如およびnonce検証の不備により、データが不正に改変される脆弱性が存在します。このコールバックはwp_ajax_*およびwp_ajax_nopriv_*フックに登録されており、条件分けせずにプラグインオプション4つに対してdelete_option()を呼び出し、プラグインのAPIキーキャッシュや設定に関連する3つのトランジェント(transient)に対してdelete_transient()を呼び出します。これにより、認証されていない攻撃者がプラグインオプションおよびトランジェントを削除することが可能となり、結果としてプラグインのAPIキー/データキャッシュがリセットされ、プラグインが強制的に状態情報を再取得するようになります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.