Plataforma
wordpress
Componente
unlimited-blocks
Corregido en
1.2.9
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en el plugin Unlimited Blocks for Gutenberg de WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, comprometiendo potencialmente la seguridad de los usuarios. Afecta a las versiones desde 0.0 hasta la 1.2.8 inclusive. Se recomienda actualizar el plugin a la versión más reciente disponible para mitigar el riesgo.
La vulnerabilidad XSS reflejada en Unlimited Blocks for Gutenberg permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede llevar al robo de cookies de sesión, redirecciones a sitios web maliciosos, o incluso la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad enviando un enlace especialmente diseñado a un usuario, que al hacer clic, ejecutaría el script malicioso. El impacto potencial es significativo, ya que un atacante podría obtener acceso a información sensible o comprometer la integridad de la aplicación WordPress.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Websites using the Unlimited Blocks for Gutenberg plugin, particularly those with user-generated content or where users are likely to click on links from untrusted sources, are at risk. Shared hosting environments where multiple websites share the same server infrastructure could also be affected if one site is compromised and used to distribute malicious links.
• wordpress / composer / npm:
grep -r 'Unlimited Blocks for Gutenberg' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Unlimited Blocks for Gutenberg'• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Security-Policy'disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Unlimited Blocks for Gutenberg a la versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se recomienda implementar una Web Application Firewall (WAF) que pueda detectar y bloquear intentos de inyección de XSS. Monitorear los logs de WordPress en busca de patrones sospechosos de inyección de código también puede ayudar a detectar y responder a posibles ataques.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25438 is a Reflected XSS vulnerability affecting the Unlimited Blocks for Gutenberg plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Unlimited Blocks for Gutenberg versions 0.0 through 1.2.8. Check your plugin version and upgrade as soon as a patch is available.
Upgrade to the latest version of Unlimited Blocks for Gutenberg as soon as a patch is released by the vendor. Temporarily disable the plugin as a workaround.
As of 2026-03-19, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and exploits may emerge.
Refer to the official ThemeHunk website and WordPress plugin repository for updates and security advisories related to CVE-2026-25438.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.