Cuokon

**Nome do Software Vulnerável e Versões Afetadas** WooCommerce Infinite Scroll and Ajax Pagination versões anteriores a 1.9 **Description** O plugin está sujeito a PHP Object Injection, uma condição em que dados não confiáveis são desserializados, permitindo que um invasor manipule a lógica da aplicação. O problema ocorre na função `import settings` através do parâmetro `settings` durante o processo de configuração de importação, pois o sistema falha ao realizar as verificações de capacidade necessárias. Atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior podem injetar um Objeto PHP. Embora o plugin não possua uma POP chain nativa (uma sequência de gadgets usada para alcançar a execução de código), a presença de uma POP chain em outro plugin ou tema instalado poderia permitir a exclusão de arquivos arbitrários, a recuperação de dados sensíveis ou a execução remota de código. **Recommendations** Atualize para uma versão posterior a 1.8. Como mitigação temporária, restrinja o acesso ao recurso de configuração de importação ou desative a função `import settings` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** GiveWP – Plugin de doações e plataforma de arrecadação de fundos, versões 3.16.1 e anteriores **Descrição** O plugin GiveWP – Plugin de doações e plataforma de arrecadação de fundos para WordPress está vulnerável à injeção de objetos PHP por meio da desserialização de entradas não confiáveis através de vários parâmetros, como `give title` e `card address`. Isso permite que invasores não autenticados injetem um objeto PHP, e a presença de uma cadeia POP permite que eles excluam arquivos arbitrários e executem código remotamente. Estima-se que mais de 100.000 sites WordPress estejam em risco. **Recomendações** Para as versões 3.16.1 e anteriores, atualize para a versão 3.16.2 ou posterior para resolver totalmente o problema. Como solução temporária, considere desativar os parâmetros vulneráveis `give title` e `card address` até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.