Plataforma
wordpress
Componente
unlimited-blocks
Corrigido em
1.2.9
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no plugin Unlimited Blocks for Gutenberg. Essa falha permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários. A vulnerabilidade afeta versões do plugin de 0 até 1.2.8. A correção foi disponibilizada em uma versão posterior do plugin.
Um atacante pode explorar essa vulnerabilidade manipulando a URL para incluir código JavaScript malicioso. Quando um usuário clica em um link malicioso ou visita uma página comprometida, o script é executado no navegador do usuário, permitindo que o atacante roube cookies, redirecione o usuário para sites maliciosos ou modifique o conteúdo da página. O impacto pode variar dependendo do contexto da aplicação e das permissões do usuário afetado, podendo levar à comprometimento de contas e exfiltração de dados sensíveis.
A vulnerabilidade foi divulgada em 2026-03-19. Não há evidências de exploração ativa em campanhas direcionadas no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade XSS a torna um alvo potencial para exploração oportunista. A pontuação CVSS de 7.1 (ALTO) indica um risco significativo.
Websites using the Unlimited Blocks for Gutenberg plugin, particularly those with user-generated content or where users are likely to click on links from untrusted sources, are at risk. Shared hosting environments where multiple websites share the same server infrastructure could also be affected if one site is compromised and used to distribute malicious links.
• wordpress / composer / npm:
grep -r 'Unlimited Blocks for Gutenberg' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Unlimited Blocks for Gutenberg'• generic web:
curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Security-Policy'disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Unlimited Blocks for Gutenberg para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente filtros de entrada robustos para sanitizar todos os dados recebidos via URL. Utilize uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore logs de acesso e erros em busca de padrões suspeitos de injeção de scripts.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25438 is a Reflected XSS vulnerability affecting the Unlimited Blocks for Gutenberg plugin, allowing attackers to inject malicious scripts via crafted URLs.
You are affected if you are using Unlimited Blocks for Gutenberg versions 0.0 through 1.2.8. Check your plugin version and upgrade as soon as a patch is available.
Upgrade to the latest version of Unlimited Blocks for Gutenberg as soon as a patch is released by the vendor. Temporarily disable the plugin as a workaround.
As of 2026-03-19, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and exploits may emerge.
Refer to the official ThemeHunk website and WordPress plugin repository for updates and security advisories related to CVE-2026-25438.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.