Плагин Widget Options – The #1 WordPress Widget & Block Control Plugin для WordPress подвержен удаленному выполнению кода во всех версиях до 4.0.7 включительно через функциональность логики отображения, которая расширяет несколько конструкторов страниц. Это связано с тем, что плагин позволяет пользователям предоставлять вводные данные, которые будут передаваться через eval() без какой-либо фильтрации или проверки возможностей. Это позволяет аутентифицированным злоумышленникам с уровнем доступа не ниже участника выполнять код на сервере. Особое примечание: мы предложили поставщику реализовать список разрешенных функций и ограничить возможность выполнения команд только администраторами, однако они не последовали нашему совету. Мы считаем, что это исправлено, однако мы считаем, что его можно еще больше усилить и что может существовать остаточный риск в связи с тем, как проблема исправлена в настоящее время.