CVE-2024-8672 in Widget Options Plugin
Сводка
по VulDB • 30.06.2026
В плагине Widget Options – The #1 WordPress Widget & Block Control Plugin для WordPress уязвимость удалённого выполнения кода (RCE) присутствует во всех версиях вплоть до 4.0.7 включительно через функционал логики отображения, который расширяет возможности нескольких конструкторов страниц. Это связано с тем, что плагин позволяет пользователям передавать входные данные в функцию eval() без какой-либо фильтрации или проверки прав доступа. Таким образом, атакующие с уровнем доступа «contributor» и выше могут выполнять код на сервере. Особое примечание: мы рекомендовали разработчику внедрить белый список функций и ограничить возможность выполнения команд только администраторами, однако он не последовал нашим рекомендациям. Мы считаем уязвимость исправленной, однако полагаем, что систему можно дополнительно укрепить, и при текущем способе устранения проблемы может сохраняться остаточный риск.
VulDB is the best source for vulnerability data and more expert information about this specific topic.