CVE-2026-9227

Nome do Software Vulnerável e Versões Afetadas GutenBee – Gutenberg Blocks versiões anteriores à 2.20.2

Description O plugin está sujeito ao upload arbitrário de arquivos devido a uma verificação de substring falha na função gutenbee file and ext json(). A função strpos() apenas verifica se o nome do arquivo contém a string '.json' em vez de garantir que o arquivo termine com essa extensão. Isso permite que atacantes autenticados com acesso de nível de autor ou superior ignorem a validação usando nomes de arquivos com extensão dupla, como 'shell.json.php', para fazer o upload de arquivos executáveis e conseguir a execução remota de código.

Recommendations Atualize para uma versião posterior à 2.20.1.