CVE-2026-2052

Nome do Software Vulnerável e Versões Afetadas Widget Options – Advanced Conditional Visibility for Gutenberg Blocks & Classic Widgets versões anteriores a 4.2.3

Descrição A Execução Remota de Código é possível através do recurso Display Logic. O problema ocorre porque o plugin utiliza a função eval() em expressões de Display Logic fornecidas pelo usuário com uma blocklist/allowlist insuficiente que pode ser burlada usando array map com concatenação de strings. Além disso, há uma falta de imposição de autorização no atributo extended widget opts block. Isso permite que atacantes autenticados, com nível de acesso de Colaborador (Contributor) ou superior, executem código arbitrário no servidor.

Recomendações Atualize para uma versão posterior a 4.2.2.