Kostenlos scannen
HIGHCVE-2025-2303CVSS 8.8

Block Logic <= 1.0.8 - Authenticated (Contributor+) Remote Code Execution

Plattform

wordpress

Komponente

block-logic

Behoben in

1.0.9

AI Confidence: highNVDEPSS 1.3%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2025-2303 is a Remote Code Execution (RCE) vulnerability affecting the Block Logic – Full Gutenberg Block Display Control plugin for WordPress. This vulnerability allows authenticated attackers with Contributor-level access or higher to execute arbitrary code on the server. The vulnerability impacts versions 1.0.0 through 1.0.8, and a fix is available in version 2.0.0.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2025-2303 allows an attacker to gain complete control over the WordPress server. Given the plugin's functionality, an attacker could modify website content, install malicious plugins, steal sensitive data (user credentials, database information), and potentially pivot to other systems on the network. The impact is particularly severe because the vulnerability requires only Contributor-level access, a relatively low privilege level within WordPress, making it easier for attackers to exploit. This vulnerability shares similarities with other code execution flaws in WordPress plugins where user input is not properly sanitized before being used in code execution functions.

Ausnutzungskontextwird übersetzt…

CVE-2025-2303 was publicly disclosed on 2025-03-22. The exploitability of this vulnerability is considered medium due to the requirement for authenticated access. Public proof-of-concept (PoC) code is likely to emerge given the ease of exploitation and the plugin's popularity. Monitor security advisories and threat intelligence feeds for any indications of active exploitation campaigns targeting this vulnerability.

Wer Ist Gefährdetwird übersetzt…

Websites using the Block Logic – Full Gutenberg Block Display Control plugin, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise on one site could potentially lead to compromise of others.

Erkennungsschrittewird übersetzt…

• wordpress / plugin:

wp plugin list | grep 'Block Logic – Full Gutenberg Block Display Control'

• wordpress / plugin: Check plugin version in WordPress admin dashboard. • wordpress / plugin: Review WordPress access logs for suspicious requests targeting the blocklogiccheck_logic function. • wordpress / plugin: Use wp-cli to check for vulnerable plugin versions: wp plugin update --all (and review output for updates). • wordpress / plugin: Monitor WordPress security plugin alerts for CVE-2025-2303.

Angriffszeitlinie

  1. Disclosure

    disclosure

  2. Patch

    patch

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

1.29% (80% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponenteblock-logic
Herstellerwordfence
Betroffener BereichBehoben in
0 – 1.0.81.0.9

Paketinformationen

Aktive Installationen
300Nische
Plugin-Bewertung
5.0
Erfordert WordPress
6.5+
Kompatibel bis
6.9.4
Erfordert PHP
5.6+

Schwachstellen-Klassifikation (CWE)

CWE-94

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2025-2303 is to immediately upgrade the Block Logic – Full Gutenberg Block Display Control plugin to version 2.0.0 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily restricting access to the plugin's settings or disabling the plugin entirely. While not a complete solution, a Web Application Firewall (WAF) configured to block requests containing suspicious input to the blocklogiccheck_logic function might offer some protection. After upgrading, verify the fix by attempting to trigger the vulnerable function with malicious input and confirming that it is properly sanitized and does not result in code execution.

So beheben

Aktualisieren Sie auf Version 2.0.0 oder eine neuere gepatchte Version

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2025-2303 — RCE in Block Logic Gutenberg Block Display Control?

CVE-2025-2303 is a Remote Code Execution vulnerability in the Block Logic – Full Gutenberg Block Display Control WordPress plugin, allowing authenticated attackers to execute code on the server.

Am I affected by CVE-2025-2303 in Block Logic Gutenberg Block Display Control?

You are affected if you are using the Block Logic – Full Gutenberg Block Display Control plugin versions 1.0.0 through 1.0.8.

How do I fix CVE-2025-2303 in Block Logic Gutenberg Block Display Control?

Upgrade the Block Logic – Full Gutenberg Block Display Control plugin to version 2.0.0 or later to remediate the vulnerability.

Is CVE-2025-2303 being actively exploited?

While no active exploitation has been confirmed, the vulnerability is considered exploitable and public PoCs are likely to emerge, increasing the risk of exploitation.

Where can I find the official Block Logic advisory for CVE-2025-2303?

Refer to the official Block Logic plugin documentation and WordPress security announcements for the latest advisory regarding CVE-2025-2303.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen