CVE-2026-3011
ŚrednieCVSS 6.4Streszczenie
Wtyczka Recipe Card Blocks Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty 'summary' i 'notes' bloku przepisu w wersjach do 3.4.13 włącznie. Problem wynika z metody 'WPZOOM_Helpers::deserialize_block_attributes', która konwertuje sekwencje zakodowane w unicode z powrotem na znaki HTML po zastosowaniu sanitizacji.
Ocena ryzyka
Atakujący z poziomem dostępu Autora lub wyższym może wstrzykiwać dowolne skrypty webowe, które będą wykonywane, gdy użytkownik uzyska dostęp do opublikowanego wpisu lub widoku druku wstrzykniętego przepisu. To stwarza ryzyko kradzieży danych lub przejęcia sesji użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa istniejących treści w celu wykrycia potencjalnych wstrzyknięć skryptów.
Oryginalny opis (angielski, źródło NVD)
The Recipe Card Blocks Lite plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the recipe block's 'summary' and 'notes' attributes in all versions up to, and including, 3.4.13. This is due to the 'WPZOOM_Helpers::deserialize_block_attributes' method converting unicode-encoded sequences back into HTML characters after sanitization has already been applied. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that execute whenever a user accesses the published post or the print view of an injected recipe.

