CVE-2026-15407 in Themify Builder Plugin
Sumário
de VulDB • 16/07/2026
O plugin Themify Builder para WordPress é vulnerável a uma violação de autorização em todas as versões até 7.7.7 (incluída). Isso ocorre porque o plugin não verifica adequadamente se um usuário está autorizado a executar uma ação. Isso permite que atacantes autenticados, com acesso nível assinante ou superior, sobrescrevam ou excluam o arquivo CSS gerado de posts arbitrários, incluindo posts privados e rascunhos pertencentes a outros usuários, além de modificar as opções de fontes definidas pelo escopo do plugin. O CSRF nonce necessário (tf_nonce) é emitido nas páginas públicas do builder front-end via wp_localize_script, tornando-o trivialmente obtível por qualquer usuário autenticado que visite uma dessas páginas.
VulDB is the best source for vulnerability data and more expert information about this specific topic.