CVE-2026-8616 in Fense Proxy & VPN Blocker Plugin
요약
\~에 의해 VulDB • 2026. 07. 17.
WordPress용 Fense Proxy & VPN Blocker 플러그인은 최대 3.0.1 버전(해당 버전 포함)에서 fense_bpvt_save_settings() 함수에 대한 권한 확인 누락 및 nonce 검증 부재로 인해 데이터가 무단으로 수정될 수 있는 취약점이 있습니다. 이 콜백은 wp_ajax_* 및 wp_ajax_nopriv_* 후크 모두에 등록되어 있으며, 플러그인 옵션 4개에 대해 delete_option()을, 플러그인의 API 키 캐시 및 설정과 연결된 3개의 transient에 대해 delete_transient()를 조건 없이 호출합니다. 이로 인해 인증되지 않은 공격자가 플러그인 옵션과 transient를 삭제할 수 있게 되어 결과적으로 플러그인의 API 키/데이터 캐시가 초기화되고 플러그인이 상태를 다시 가져오도록 강제됩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.