CVE-2026-4658 in Gutenberg Essential Blocks Pluginالمعلومات

الملخص

بحسب VulDB • 13/05/2026

يحتوي مكون إضافي (Plugin) Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates لـ WordPress على ثغرة تسمح بتنفيذ برمجيات خبيثة عبر المواقع (Stored Cross-Site Scripting) عبر سمات className، وclassHook، وblockId في كتلة "إضافة إلى السلة" (essential-blocks/add-to-cart) في جميع الإصدارات حتى 6.0.4 وشاملة لها. وتعود هذه الثغرة إلى عدم كفاية عملية الهروب من التنصت (output escaping) في دالة render_callback()، حيث يتم وضع هذه السمات داخل سمات HTML الخاصة بـ class وdata-id باستخدام raw sprintf() وimplode() دون استخدام الهروب المناسب عبر esc_attr(). وعلى الرغم من أن الغلاف الخارجي (div) يستخدم get_block_wrapper_attributes() الذي يقوم بالهروب بشكل صحيح، فإن الـ divs الداخلية لا تفعل ذلك. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "مُساهم" (Contributor) فأعلى، حقن نصوص برمجية ويب تعسفية في الصفحات، والتي سيتم تنفيذها كلما قام مستخدم بالوصول إلى صفحة تم حقن البرمجية فيها.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

23/03/2026

إفشاء

02/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360803

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

6.4 (CNA)

EPSS

0.00027

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4658
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4658
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4658/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!