CVE-2026-6378

Nome do Software Vulnerável e Versões Afetadas Maxi Blocks versões anteriores a 2.2.0

Descrição O plugin Maxi Blocks para WordPress contém um problema de cross-site scripting armazenado. Isso ocorre devido à sanitização de entrada e escape de saída insuficientes do parâmetro sc styles no endpoint de API REST '/wp-json/maxi-blocks/v1.0/style-card'. Atacantes autenticados com nível de acesso de Autor ou superior podem injetar scripts web arbitrários que são executados em todas as páginas onde os estilos do cartão de estilo do plugin são carregados, incluindo todo o painel de administração do WordPress.

Recomendações Atualize o plugin para uma versão posterior a 2.1.9. Como medida paliativa temporária, restrinja o acesso ao endpoint '/wp-json/maxi-blocks/v1.0/style-card' ou evite usar o parâmetro sc styles até que a atualização seja aplicada.