CVE-2026-4125

Name of the Vulnerable Software and Affected Versions WPMK Block versões anteriores a 1.0.2

Description O plugin WPMK Block para WordPress contém um problema de Stored Cross-Site Scripting. Atacantes autenticados com nível de acesso de Colaborador ou superior podem injetar scripts web arbitrários em páginas. Isso ocorre porque a função wpmk block shortcode() não sanitiza nem escapa adequadamente o atributo 'class' dentro de shortcodes, permitindo que a entrada seja concatenada diretamente no atributo de classe de um elemento div HTML.

Recommendations Atualize para uma versão posterior a 1.0.1. Como medida paliativa temporária, restrinja a capacidade de usuários de nível Colaborador de editar atributos de shortcode.