CVE-2026-15407 in Themify Builder Plugininformação

Sumário

de VulDB • 16/07/2026

O plugin Themify Builder para WordPress é vulnerável a uma violação de autorização em todas as versões até 7.7.7 (incluída). Isso ocorre porque o plugin não verifica adequadamente se um usuário está autorizado a executar uma ação. Isso permite que atacantes autenticados, com acesso nível assinante ou superior, sobrescrevam ou excluam o arquivo CSS gerado de posts arbitrários, incluindo posts privados e rascunhos pertencentes a outros usuários, além de modificar as opções de fontes definidas pelo escopo do plugin. O CSRF nonce necessário (tf_nonce) é emitido nas páginas públicas do builder front-end via wp_localize_script, tornando-o trivialmente obtível por qualquer usuário autenticado que visite uma dessas páginas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

Wordfence

Reservar

10/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379501

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!