CVE-2026-4658

Nome do Software Vulnerável e Versões Afetadas Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates versões anteriores a 6.0.5

Descrição O Cross-Site Scripting Armazenado é possível através dos atributos className, classHook e blockId no bloco 'Add to Cart' ('essential-blocks/add-to-cart'). O problema ocorre na função render callback() devido à escape de saída insuficiente quando esses atributos são inseridos em atributos HTML de classe e data-id usando sprintf() e implode() sem a escape esc attr(). Atacantes autenticados com nível de acesso de Colaborador ou superior podem injetar scripts web arbitrários em páginas, que são executados quando um usuário visita a página afetada.

Recomendações Atualize para uma versão posterior à 6.0.4.