CVE-2026-4658 in Gutenberg Essential Blocks Plugin
Tóm tắt
Bởi VulDB • 03/06/2026
Plugin Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates cho WordPress bị lỗ hổng Stored Cross-Site Scripting (XSS) thông qua các thuộc tính className, classHook và blockId trong khối Add to Cart (essential-blocks/add-to-cart) ở tất cả các phiên bản từ 6.0.4 trở về trước. Lỗ hổng này xảy ra do việc thiếu cơ chế thoát ký tự đầu ra (output escaping) trong hàm render_callback(), nơi các thuộc tính này được đưa vào các thuộc tính HTML class và data-id bằng cách sử dụng raw sprintf() và implode() mà không có esc_attr(). Mặc dù thẻ div bao ngoài sử dụng get_block_wrapper_attributes() để thực hiện việc thoát đúng cách, nhưng các thẻ div bên trong thì không. Điều này cho phép những kẻ tấn công đã xác thực (authenticated attackers), với quyền truy cập cấp Contributor trở lên, chèn mã web tùy ý vào các trang, sẽ được thực thi bất cứ khi nào người dùng truy cập một trang bị nhiễm độc.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.