CVE-2026-2052 in Widget Options Plugininfo

Zusammenfassung

von VulDB • 28.05.2026

Das Plugin „Widget Options – Advanced Conditional Visibility for Gutenberg Blocks & Classic Widgets“ für WordPress ist in allen Versionen bis einschließlich 4.2.2 anfällig für Remote Code Execution (RCE) über die Funktion „Display Logic“. Dies liegt daran, dass das Plugin eval() auf benutzerdefinierte „Display Logic“-Ausdrücke anwendet, wobei die unzureichende Blocklist/Allowlist unter Umgehung mittels array_map in Kombination mit String-Konkatenation umgangen werden kann. Zudem fehlt eine ausreichende Autorisierungsdurchsetzung für das Attribut extended_widget_opts_block. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, Code auf dem Server auszuführen. Die Schwachstelle wurde in Version 4.2.0 teilweise gepatcht.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

06.02.2026

Veröffentlichung

02.05.2026

Moderieren

akzeptiert

Eintrag

VDB-360820

CPE

bereit

EPSS

0.00074

KEV

nein

Aktivitäten

very low

Sektor

Telecommunication

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2052
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2052
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2052/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!