CVE-2026-8981
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Custom Block Builder dla WordPressa przed wersją 4.3.0 nie sprawdza konsekwentnie uprawnienia unfiltered_html w ścieżkach zapisujących do pól kodu szablonu bloku. To pozwala administratorom na instalacjach multisite (lub pojedynczych z zdefiniowanym DISALLOW_UNFILTERED_HTML) na wstrzykiwanie dowolnego JavaScriptu, który będzie wykonywany dla każdego odwiedzającego strony z osadzonym blokiem.
Ocena ryzyka
Ryzyko polega na możliwości wstrzyknięcia złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Tego typu podatność może poważnie zaszkodzić reputacji organizacji oraz zaufaniu użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki Custom Block Builder do wersji 4.3.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień administratorów w instalacjach multisite.
Oryginalny opis (angielski, źródło NVD)
The Custom Block Builder WordPress plugin before 4.3.0 does not consistently check the unfiltered_html capability across all paths that write to its block template code fields, allowing administrators on multisite installations (or single-site installs with DISALLOW_UNFILTERED_HTML defined) to inject arbitrary JavaScript that executes for any visitor of pages embedding the affected block.

