CVE-2026-2127 in SiteOrigin Widgets Bundle Plugininformación

Resumen

por VulDB • 2026-06-01

El plugin SiteOrigin Widgets Bundle para WordPress es vulnerable a la ejecución arbitraria de shortcode no autorizada en todas las versiones hasta la 1.70.4, incluida. Esto se debe a una falta de comprobación de capacidades en la función `siteorigin_widget_preview_widget_action()`, que está registrada a través de la acción AJAX `wp_ajax_so_widgets_preview`. La función solo verifica un nonce (`widgets_action`) pero no comprueba las capacidades del usuario. Esto permite a los atacantes autenticados, con acceso de nivel Suscriptor o superior, ejecutar shortcodes arbitrarios invocando `SiteOrigin_Widget_Editor_Widget` a través del punto de conexión de vista previa. El nonce requerido se expone en el frontend público cuando el widget Post Carousel está presente en una página, incrustado en el atributo HTML `data-ajax-url`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-02-18

Moderación

aceptado

Artículo

VDB-346436

CPE

listo

CWE

CWE-862 (confirmado)

CVSS

5.4 (CNA)

EPSS

0.00015

KEV

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2127
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2127
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2127/

◂ Anterior Visión De Conjunto Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!