Vulnerabilidad en Gutenberg Blocks (CVE-2026-1857)

El plugin Gutenberg Blocks con AI por Kadence WP para WordPress es vulnerable a falsificación de petición del lado del servidor en todas las versiones hasta la 3.6.1, inclusive. Esto se debe a una validación insuficiente del parámetro 'endpoint' en la función 'get_items()' del manejador de la API REST de GetResponse. La comprobación de permisos del endpoint solo requiere la capacidad 'edit_posts' (rol de Colaborador) en lugar de 'manage_options' (Administrador). Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador o superior, realicen peticiones del lado del servidor a endpoints arbitrarios en el servidor de la API de GetResponse configurado, recuperando datos sensibles como contactos, campañas y listas de correo utilizando las credenciales de la API almacenadas en el sitio. La clave de API almacenada también se filtra en las cabeceras de la petición.