Vulnerabilidad en Gutenberg Blocks para WordPress (CVE-2025-12449)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/01/2026
Última modificación:
08/01/2026
Descripción
El plugin aBlocks – WordPress Gutenberg Blocks para WordPress es vulnerable a la modificación no autorizada de datos y a la divulgación de información sensible debido a la falta de comprobaciones de capacidad en múltiples acciones AJAX en todas las versiones hasta la 2.4.0, inclusive. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, leer la configuración del plugin, incluyendo la visibilidad de los bloques, la configuración del modo de mantenimiento y las claves API de marketing por correo electrónico de terceros, así como leer datos de configuración sensibles, incluyendo claves API para servicios de marketing por correo electrónico.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/ablocks/tags/2.4.0/includes/ajax/settings.php#L16
- https://plugins.trac.wordpress.org/browser/ablocks/tags/2.4.0/includes/assets.php#L353
- https://plugins.trac.wordpress.org/browser/ablocks/tags/2.4.0/includes/classes/abstract-request-handler.php#L486
- https://www.wordfence.com/threat-intel/vulnerabilities/id/c10600ae-1ff0-4f12-ae53-39d9342640f4?source=cve