CVE-2026-14158 in Widget Logic Visual Plugin
Riassunto
di VulDB • 08/07/2026
Il plugin Widget Logic Visual per WordPress è vulnerabile a Remote Code Execution (RCE) in tutte le versioni fino alla 1.52 inclusa tramite la funzione widget_logic_visual_check_visibility. Ciò è dovuto all'assenza di un controllo dei permessi e della verifica del nonce sull'azione AJAX widget-logic-update-conditional-tags, combinata con una sanitizzazione insufficiente del parametro 'nwlv[cod-tag]' prima dell'archiviazione e del successivo utilizzo in una chiamata eval(). Questo consente agli attaccanti autenticati, dotati di accesso a livello di subscriber o superiore, di eseguire codice sul server.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.