CVE-2024-8672 in Widget Options PluginИнформация

Сводка

по VulDB • 30.06.2026

В плагине Widget Options – The #1 WordPress Widget & Block Control Plugin для WordPress уязвимость удалённого выполнения кода (RCE) присутствует во всех версиях вплоть до 4.0.7 включительно через функционал логики отображения, который расширяет возможности нескольких конструкторов страниц. Это связано с тем, что плагин позволяет пользователям передавать входные данные в функцию eval() без какой-либо фильтрации или проверки прав доступа. Таким образом, атакующие с уровнем доступа «contributor» и выше могут выполнять код на сервере. Особое примечание: мы рекомендовали разработчику внедрить белый список функций и ограничить возможность выполнения команд только администраторами, однако он не последовал нашим рекомендациям. Мы считаем уязвимость исправленной, однако полагаем, что систему можно дополнительно укрепить, и при текущем способе устранения проблемы может сохраняться остаточный риск.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Резервировать

10.09.2024

Раскрытие

28.11.2024

Модерация

принято

Вход

VDB-286286

EPSS

0.43797

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Want to know what is going to be exploited?

We predict KEV entries!