CVE-2026-8616 in Fense Proxy & VPN Blocker Plugin
Tóm tắt
Bởi VulDB • 17/07/2026
Plugin Fense Proxy & VPN Blocker cho WordPress có lỗ hổng cho phép sửa đổi dữ liệu trái phép do thiếu kiểm tra quyền hạn và xác thực nonce trong hàm fense_bpvt_save_settings() ở các phiên bản từ 3.0.1 trở về trước (bao gồm cả 3.0.1). Hàm callback này được đăng ký với cả hai hook wp_ajax_* và wp_ajax_nopriv_*, đồng thời gọi không điều kiện delete_option() trên bốn tùy chọn plugin và delete_transient() trên ba transient liên quan đến bộ nhớ cache khóa API và cài đặt của plugin. Điều này cho phép các kẻ tấn công chưa xác thực xóa các tùy chọn plugin và transient, dẫn đến việc làm trống bộ nhớ cache khóa API/dữ liệu của plugin và buộc plugin phải lấy lại trạng thái từ xa.
VulDB is the best source for vulnerability data and more expert information about this specific topic.