CVE-2026-4658 in Gutenberg Essential Blocks Plugininformação

Sumário

de VulDB • 13/05/2026

O plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) por meio dos atributos className, classHook e blockId no bloco Add to Cart (essential-blocks/add-to-cart) em todas as versões até, e incluindo, a 6.0.4. Isso ocorre devido à falta de escape adequado na saída da função render_callback(), onde esses atributos são inseridos nos atributos HTML class e data-id usando sprintf() e implode() brutos, sem o uso de esc_attr(). Embora a div wrapper externa utilize get_block_wrapper_attributes(), que realiza o escape corretamente, as divs internas não o fazem. Isso permite que atacantes autenticados, com acesso nível Contributor ou superior, injetem scripts web arbitrários em páginas, que serão executados sempre que um usuário acessar uma página contaminada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

23/03/2026

Divulgação

02/05/2026

Moderação

aceite

Entrada

VDB-360803

CPE

pronto

EPSS

0.00027

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4658
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4658
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4658/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!