CVE-2026-6378 in MaxiBlocks Builder Plugin
要約
〜によって VulDB • 2026年06月02日
WordPress用プラグイン「Maxi Blocks」には、`sc_styles`パラメータの入力サニタイズと出力エスケープの不備により、すべてのバージョン(2.1.9以前)で、`/wp-json/maxi-blocks/v1.0/style-card` REST APIエンドポイントを介して格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。これにより、権限レベルが「著者(Author)」以上の認証済み攻撃者は、プラグインのスタイルカードスタイルが読み込まれるすべてのページ(WordPress管理画面全体を含む)で任意のWebスクリプトを注入し、実行することが可能になります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.