Katalog CVE

CVE-2026-11357

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka Kadence Blocks — Page Builder Toolkit dla edytora Gutenberg w WordPressie jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.7.5 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współtwórcy i wyżej wydobycie klucza licencyjnego, adresu e-mail właściciela licencji oraz innych wrażliwych danych z konsoli przeglądarki.

Ocena ryzyka

Organizacje mogą być narażone na kradzież wrażliwych informacji, co może prowadzić do nieautoryzowanego dostępu do konta Kadence oraz innych zasobów. Atakujący z poziomem dostępu współtwórcy mogą łatwo uzyskać dostęp do tych danych bez potrzeby manipulacji żądaniami serwera.

Rekomendacja

Zaleca się aktualizację wtyczki Kadence Blocks do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do edytora dla użytkowników na poziomie współtwórcy, aby zminimalizować ryzyko ujawnienia wrażliwych informacji.

Oryginalny opis (angielski, źródło NVD)

The Kadence Blocks — Page Builder Toolkit for Gutenberg Editor plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 3.7.5 via the editor_assets_variables. This makes it possible for authenticated attackers, with contributor-level access and above, to extract the site's connected Kadence account license key, license owner email, api_key, api_email, and license domain from the browser console by inspecting window.kadence_blocks_params.proData. Exploitation requires only that an administrator has previously connected a valid Kadence license; the full credential bundle is then readable by any Contributor-level user from the block editor client context without any server-side request manipulation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS