流行的WordPress插件“Widget Options”近期发现了一个严重的安全漏洞（CVE-2024-8672），该漏洞可能允许恶意用户执行任意代码。漏洞源于插件的“显示逻辑”功能，攻击者可通过该功能注入恶意代码。插件开发者已发布4.0.8版本修复了该漏洞，但安全专家提醒，补丁可能存在残余风险。因此，所有使用该插件的用户都应立即升级到最新版本，并密切关注网站上的任何可疑活动，以确保网站安全。

🤔 **插件漏洞：**“Widget Options”插件（版本低于4.0.8）存在严重安全漏洞CVE-2024-8672，CVSSv3评分高达9.9，可能导致恶意用户在服务器上执行任意代码。

⚠️ **漏洞来源：**漏洞源于插件的“显示逻辑”功能，该功能允许用户输入数据并通过eval()函数传递，缺乏必要的过滤和权限检查，导致攻击者可以注入并执行任意代码。

💡 **安全建议：**安全研究员建议插件开发者实施允许函数列表，并限制只有管理员才能执行命令，但目前的补丁可能并非完全解决所有问题。

🚨 **行动呼吁：**所有“Widget Options”插件用户应立即升级到4.0.8版本，并密切关注网站上的任何可疑活动，以防范潜在风险。

在最新发布的版本（4.0.8 版）中，流行的 “Widget Options ”插件中的一个重要安全漏洞（CVE-2024-8672）已被修补，该插件拥有超过 100,000 个活跃安装。该漏洞的 CVSSv3 得分为 9.9，对使用该插件的网站构成了重大威胁，可能允许拥有贡献者级别或以上访问权限的恶意行为者在服务器上执行任意代码。漏洞：该漏洞源于插件的 “显示逻辑 ”功能，它扩展了多个页面构建器。该功能允许用户输入数据，然后通过 eval() 函数传递，而不进行适当的过滤或能力检查。这一疏忽为通过验证的攻击者注入和执行任意代码打开了大门。研究人员建议忽略：安全研究员 Webbernaut 发现并报告了 CVE-2024-8672，他建议插件开发人员实施允许函数列表，并限制只有管理员才能执行命令。遗憾的是，这些建议并未在补丁中被完全采纳。补丁和残余风险：虽然最新更新（4.0.8 版）解决了眼前的漏洞，但安全专家警告说，当前的补丁可能并非完全万无一失。解决该问题的方式仍可能给网站带来残余风险。行动呼吁：强烈建议 “Widget Options”插件的所有用户立即升级到 4.0.8 版本。网站管理员也应保持警惕，监控网站上的任何可疑活动。