CVE-2026-8365

Nome do Software Vulnerável e Versões Afetadas Blocksy versões anteriores a 2.1.36

Description A sanitização insuficiente de entrada na função blocksy sanitize post meta options() permite que atacantes autenticados com nível de acesso de contribuidor ou superior armazenem strings de objetos PHP serializados em metadados de postagens. A função bloqueia apenas valores que contenham '<' ou '>', falhando em prevenir a injeção de objetos serializados. Quando a migração de banco de dados V200 é executada, a função SearchReplacer::run recursively() desserializa incondicionalmente todos os valores de string usando @unserialize() sem restringir as classes permitidas. Esse processo pode acionar a função RaiiPattern:: destruct() de um objeto BlocksyRaiiPattern injetado, resultando em execução remota de código ao executar callables PHP arbitrários via call user func(). Este problema é acessível através do campo da API REST 'blocksy meta'.

Recommendations Atualize para a versão 2.1.36 ou posterior. Como mitigação temporária, restrinja o acesso ao campo da API REST 'blocksy meta' para usuários com permissões de nível de contribuidor.