Katalog CVE

CVE-2026-8981

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wtyczka Custom Block Builder dla WordPressa przed wersją 4.3.0 nie sprawdza konsekwentnie uprawnienia unfiltered_html w ścieżkach zapisujących do pól kodu szablonu bloku. To pozwala administratorom na instalacjach multisite (lub pojedynczych z zdefiniowanym DISALLOW_UNFILTERED_HTML) na wstrzykiwanie dowolnego JavaScriptu, który będzie wykonywany dla każdego odwiedzającego strony z osadzonym blokiem.

Ocena ryzyka

Ryzyko polega na możliwości wstrzyknięcia złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Tego typu podatność może poważnie zaszkodzić reputacji organizacji oraz zaufaniu użytkowników.

Rekomendacja

Zaleca się aktualizację wtyczki Custom Block Builder do wersji 4.3.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień administratorów w instalacjach multisite.

Oryginalny opis (angielski, źródło NVD)

The Custom Block Builder WordPress plugin before 4.3.0 does not consistently check the unfiltered_html capability across all paths that write to its block template code fields, allowing administrators on multisite installations (or single-site installs with DISALLOW_UNFILTERED_HTML defined) to inject arbitrary JavaScript that executes for any visitor of pages embedding the affected block.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS