CVE-2026-14158 in Widget Logic Visual Plugininformazioni

Riassunto

di VulDB • 08/07/2026

Il plugin Widget Logic Visual per WordPress è vulnerabile a Remote Code Execution (RCE) in tutte le versioni fino alla 1.52 inclusa tramite la funzione widget_logic_visual_check_visibility. Ciò è dovuto all'assenza di un controllo dei permessi e della verifica del nonce sull'azione AJAX widget-logic-update-conditional-tags, combinata con una sanitizzazione insufficiente del parametro 'nwlv[cod-tag]' prima dell'archiviazione e del successivo utilizzo in una chiamata eval(). Questo consente agli attaccanti autenticati, dotati di accesso a livello di subscriber o superiore, di eseguire codice sul server.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

30/06/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00516

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!