Vulnerabilidad en Widget Options – The #1 WordPress Widget & Block Control Plugin de WordPress (CVE-2024-8672)

El complemento Widget Options – The #1 WordPress Widget & Block Control Plugin de WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 4.0.7 incluida, a través de la funcionalidad de lógica de visualización que extiende varios creadores de páginas. Esto se debe a que el complemento permite a los usuarios proporcionar información que se pasará a través de eval() sin ningún filtro ni comprobaciones de capacidad. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, ejecuten código en el servidor. Nota especial: sugerimos al proveedor implementar una lista de funciones permitidas y limitar la capacidad de ejecutar comandos solo a los administradores, sin embargo, no siguieron nuestro consejo. Estamos considerando la posibilidad de parchear esto, sin embargo, creemos que aún se podría endurecer aún más y puede haber un riesgo residual con la forma en que se ha parcheado el problema actualmente.