Plateforme
wordpress
Composant
widget-options
Corrigé dans
4.1.4
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans le composant Widget Options de Marketing Fire. Cette faille, due à un contrôle incorrect de la génération de code (injection de code), permet à un attaquant d'injecter du code malveillant. Elle affecte les versions de Widget Options comprises entre 0.0.0 et 4.1.3 incluses. Une version corrigée, 4.2.0, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur le serveur hébergeant l'application WordPress. Cela peut conduire à la prise de contrôle complète du site web, à la compromission des données sensibles, à l'installation de logiciels malveillants, ou à l'utilisation du serveur pour lancer d'autres attaques. Le risque est particulièrement élevé car l'injection de code peut être réalisée à distance, sans nécessiter d'authentification préalable. Cette vulnérabilité présente des similitudes avec d'autres failles d'injection de code, où la manipulation des entrées utilisateur permet d'exécuter des commandes système.
Cette vulnérabilité a été publiée le 5 mars 2026. Son score CVSS de 9 indique une sévérité critique. La présence d'une RCE rend cette vulnérabilité particulièrement dangereuse. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation.
WordPress websites utilizing the Widget Options plugin, particularly those running older versions (0.0.0–4.1.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites relying on legacy WordPress installations or those with inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'eval(' /var/www/html/wp-content/plugins/widget-options/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/widget-options/ | grep -i 'Content-Type: application/x-php' # Check for PHP content served directlydisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour immédiatement Widget Options vers la version 4.2.0 ou ultérieure. Si la mise à jour n'est pas possible dans l'immédiat, envisagez de désactiver temporairement le composant Widget Options. En attendant, une solution de contournement pourrait consister à implémenter des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des injections de code. Surveillez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'aucune modification non autorisée n'a été apportée.
Mettre à jour vers la version 4.2.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27984 is a critical Remote Code Execution vulnerability in the Widget Options WordPress plugin, allowing attackers to execute arbitrary code on the server.
You are affected if you are using Widget Options versions 0.0.0 through 4.1.3. Upgrade to 4.2.0 or later to resolve the vulnerability.
Upgrade the Widget Options plugin to version 4.2.0 or later. If immediate upgrade is not possible, disable the plugin or implement temporary workarounds like input validation.
While no public exploits are currently available, the CRITICAL severity and RCE nature of the vulnerability suggest a high probability of active exploitation.
Refer to the Widget Options plugin's official website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.