CVE-2024-8672

Nome do software vulnerável e versões afetadas:

The Widget Options – O plugin nº 1 para controle de widgets e blocos do WordPress, versões até a 4.0.7, inclusive

Descrição:

O problema está relacionado à função eval() no plugin, que permite que os usuários forneçam entradas que serão passadas sem qualquer filtragem ou verificação de permissões. Isso possibilita que invasores autenticados, com acesso de nível de colaborador ou superior, executem código no servidor. A vulnerabilidade se deve à funcionalidade de lógica de exibição do plugin, que estende vários construtores de páginas. Estima-se que mais de 100.000 sites que utilizam o plugin estejam potencialmente afetados.

Recomendações:

Para versões até a 4.0.7, inclusive, atualize para a versão 4.0.8 imediatamente para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de lógica de exibição para minimizar o risco de exploração. Além disso, limitar a capacidade de executar comandos apenas aos administradores pode ajudar a mitigar o risco.