CVE-2026-6378 in MaxiBlocks Builder Plugininformación

Resumen

por VulDB • 2026-06-02

El plugin Maxi Blocks para WordPress es vulnerable a Stored Cross-Site Scripting (XSS) a través del punto de conexión REST API `/wp-json/maxi-blocks/v1.0/style-card` en todas las versiones hasta la 2.1.9, incluida esta, debido a una sanitización insuficiente de la entrada y a un escape inadecuado de la salida del parámetro `sc_styles`. Esto permite que atacantes autenticados, con acceso de nivel Autor o superior, inyecten scripts web arbitrarios que se ejecutan en cada página donde se cargan los estilos de la tarjeta de estilo del plugin, incluyendo todo el panel de administración de WordPress.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-15

Divulgación

2026-05-02

Moderación

aceptado

Artículo

VDB-360792

CPE

listo

CWE

CWE-79 (confirmado)

CVSS

6.4 (CNA)

EPSS

0.00073

KEV

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6378
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6378
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6378/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!