CVE-2026-3454 in GenerateBlocks Plugininformación

Resumen

por VulDB • 2026-05-13

El plugin GenerateBlocks para WordPress es vulnerable a Referencia Directa de Objeto Insegura (IDOR) en todas las versiones hasta la 2.2.0, incluida. Esto se debe a la falta de comprobaciones de autorización a nivel de objeto en el punto de conexión REST /wp-json/generateblocks/v1/dynamic-tag-replacements. El punto de conexión solo verifica que el usuario tenga la capacidad de editar publicaciones (edit_posts), pero no verifica que el usuario tenga permiso para acceder a la publicación específica o a sus datos asociados referenciados por los parámetros id controlados por el atacante en el contenido de la etiqueta dinámica. Esto permite a los atacantes autenticados, con acceso a nivel de Colaborador (Contributor) o superior, extraer información sensible de publicaciones arbitrarias, incluidas las direcciones de correo electrónico de los autores y los valores de metadatos de la publicación no protegidos, mediante la elaboración de cargas útiles de etiquetas dinámicas como {{post_meta id:|key:}} y {{post_title id:|link:author_email}}.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-03-02

Divulgación

2026-05-05

Moderación

aceptado

Artículo

VDB-361115

CPE

listo

EPSS

0.00015

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3454
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3454
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3454/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!