PT-2025-44713 · WordPress · Qi Blocks
Adrian Lukita
·
Publicado
2025-11-01
·
Atualizado
2025-11-22
·
CVE-2025-12180
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin Qi Blocks para WordPress, versões até e incluindo a 1.4.3
Descrição
O plugin Qi Blocks para WordPress é vulnerável a uma falha de autorização. O plugin armazena estilos CSS arbitrários enviados através do endpoint da API
qi-blocks/v1/update-styles sem sanitização adequada dentro da função update global styles callback(). Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior injetem CSS arbitrário. Essa injeção de CSS pode ser aproveitada para ocultar conteúdo, sobrepor elementos de interface enganosos ou potencialmente roubar informações sensíveis.Recomendações
Atualize o plugin Qi Blocks para uma versão superior à 1.4.3.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qi Blocks