Plataforma
wordpress
Componente
widget-options
Corrigido em
4.1.4
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no Widget Options, um plugin para WordPress. Essa falha, classificada como crítica, permite a injeção de código malicioso, potencialmente concedendo a um atacante controle total sobre o sistema. As versões afetadas são as que variam de 0.0.0 até a 4.1.3, e a correção está disponível na versão 4.2.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no servidor WordPress com os privilégios do usuário do WordPress que executa o plugin. Isso pode levar à exfiltração de dados confidenciais, modificação de arquivos do sistema, instalação de malware ou até mesmo o controle completo do servidor. Dada a natureza do WordPress como uma plataforma amplamente utilizada, o impacto pode ser significativo, afetando potencialmente milhares de sites e seus usuários. A injeção de código pode ser explorada através de requisições HTTP maliciosas, sem a necessidade de autenticação, tornando-a particularmente perigosa.
A vulnerabilidade foi divulgada em 2026-03-05. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a sua natureza de RCE e o potencial de exploração.
WordPress websites utilizing the Widget Options plugin, particularly those running older versions (0.0.0–4.1.3), are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites relying on legacy WordPress installations or those with inadequate security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'eval(' /var/www/html/wp-content/plugins/widget-options/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/widget-options/ | grep -i 'Content-Type: application/x-php' # Check for PHP content served directlydisclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Widget Options para a versão 4.2.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear requisições que contenham código potencialmente malicioso. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como tentativas de execução de comandos não autorizados. Após a atualização, verifique a integridade dos arquivos do plugin para garantir que a correção foi aplicada corretamente.
Atualize para a versão 4.2.0 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27984 is a critical Remote Code Execution vulnerability in the Widget Options WordPress plugin, allowing attackers to execute arbitrary code on the server.
You are affected if you are using Widget Options versions 0.0.0 through 4.1.3. Upgrade to 4.2.0 or later to resolve the vulnerability.
Upgrade the Widget Options plugin to version 4.2.0 or later. If immediate upgrade is not possible, disable the plugin or implement temporary workarounds like input validation.
While no public exploits are currently available, the CRITICAL severity and RCE nature of the vulnerability suggest a high probability of active exploitation.
Refer to the Widget Options plugin's official website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.