CVE-2026-3454

Nome do Software Vulnerável e Versões Afetadas GenerateBlocks versões anteriores a 2.2.1

Descrição O plugin está sujeito a Insecure Direct Object Reference (IDOR), uma falha em que uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário. O problema existe no endpoint REST '/wp-json/generateblocks/v1/dynamic-tag-replacements', que falha ao realizar verificações de autorização em nível de objeto. Embora o endpoint verifique a capacidade edit posts, ele não confirma se o usuário tem permissão para acessar o post específico ou os dados referenciados pelos parâmetros id. Consequentemente, atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem extrair informações sensíveis de posts arbitrários, como endereços de e-mail de autores e valores de meta de posts não protegidos, manipulando payloads de tags dinâmicas.

Recomendações Atualize para uma versão posterior a 2.2.0. Restrinja o acesso ao endpoint '/wp-json/generateblocks/v1/dynamic-tag-replacements' para minimizar o risco de exploração.