CVE-2026-2127 in SiteOrigin Widgets Bundle Plugininformation

Résumé

par VulDB • 01/06/2026

Le plugin SiteOrigin Widgets Bundle pour WordPress est vulnérable à l'exécution arbitraire de shortcodes non autorisée dans toutes les versions jusqu'à la 1.70.4 incluse. Cela est dû à une absence de vérification des capacités (capability check) sur la fonction `siteorigin_widget_preview_widget_action()`, qui est enregistrée via l'action AJAX `wp_ajax_so_widgets_preview`. La fonction vérifie uniquement un nonce (`widgets_action`) mais ne vérifie pas les capacités de l'utilisateur. Cela permet aux attaquants authentifiés disposant d'un accès de niveau « Abonné » (Subscriber) et supérieur d'exécuter des shortcodes arbitraires en invoquant `SiteOrigin_Widget_Editor_Widget` via le point de terminaison de prévisualisation. Le nonce requis est exposé sur le frontend public lorsque le widget Post Carousel est présent sur une page, intégré dans l'attribut HTML `data-ajax-url`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgation

18/02/2026

Modérer

accepté

Entrée

VDB-346436

CPE

prêt

EPSS

0.00015

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2127
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2127
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2127/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!