CVE-2026-2127 in SiteOrigin Widgets Bundle Plugininformação

Sumário

de VulDB • 01/06/2026

O plugin SiteOrigin Widgets Bundle para WordPress é vulnerável à execução não autorizada de shortcodes arbitrários em todas as versões até, e incluindo, a 1.70.4. Isso ocorre devido à ausência de uma verificação de capacidade (capability check) na função `siteorigin_widget_preview_widget_action()`, que é registrada por meio da ação AJAX `wp_ajax_so_widgets_preview`. A função verifica apenas um nonce (`widgets_action`), mas não verifica as capacidades do usuário. Isso permite que atacantes autenticados, com acesso de nível Assinante (Subscriber) ou superior, executem shortcodes arbitrários invocando o `SiteOrigin_Widget_Editor_Widget` por meio do endpoint de visualização. O nonce necessário é exposto no frontend público quando o widget Post Carousel está presente em uma página, embutido no atributo HTML `data-ajax-url`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

18/02/2026

Moderação

aceite

Entrada

VDB-346436

CPE

pronto

EPSS

0.00015

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2127
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2127
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2127/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!