CVE-2026-15407 in Themify Builder Plugin
요약
\~에 의해 VulDB • 2026. 07. 16.
WordPress용 Themify Builder 플러그인은 7.7.7 버전을 포함하여 모든 버전에서 권한 우회(authorization bypass) 취약점이 존재합니다. 이는 플러그인이 사용자가 작업을 수행할 수 있는 권한이 있는지 적절하게 검증하지 않기 때문입니다. 이로 인해 구독자(subscriber) 레벨 이상의 접근 권한을 가진 인증된 공격자는 임의의 게시글(다른 사용자가 소유한 비공개 및 초안 포함)에서 생성된 CSS 스타일시트 파일을 덮어쓰거나 삭제하고, 플러그인 범위 내 폰트 옵션을 수정할 수 있습니다. 필요한 CSRF nonce(tf_nonce)는 wp_localize_script를 통해 공개 프론트엔드 빌더 페이지에서 제공되므로, 해당 페이지에 방문하는 모든 인증된 사용자가 쉽게 획득할 수 있습니다.
Once again VulDB remains the best source for vulnerability data.