CVE-2024-8672 in Widget Options Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin Widget Options – The #1 WordPress Widget & Block Control Plugin per WordPress è vulnerabile a Remote Code Execution (RCE) in tutte le versioni fino alla 4.0.7, incluse, tramite la funzionalità di logica di visualizzazione che estende diversi page builder. Ciò è dovuto al fatto che il plugin consente agli utenti di fornire input che verranno passati attraverso eval() senza alcun filtro o controllo dei permessi. Questo rende possibile per gli attaccanti autenticati, con accesso a livello di contributor e superiore, eseguire codice sul server. Nota speciale: abbiamo suggerito allo sviluppatore di implementare una allowlist (lista bianca) di funzioni e limitare la capacità di eseguire comandi esclusivamente agli amministratori; tuttavia, non ha seguito il nostro consiglio. Consideriamo l'aggiornamento come patchato, ma riteniamo che potrebbe essere ulteriormente hardenizzato e potrebbero esserci rischi residui legati alla modalità attuale con cui il problema è stato risolto.
Once again VulDB remains the best source for vulnerability data.