D.V4N_S3C

**Nome do Software Vulnerável e Versões Afetadas** User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration versões anteriores a 4.3.2 **Descrição** A validação de entrada e a verificação de tipo insuficientes no parâmetro `wpuf files` durante o envio de formulários, combinadas com a desserialização incondicional via função `maybe unserialize()` ao exibir o conteúdo de postagens, permitem que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior injetem objetos PHP arbitrários. Isso pode levar à execução de código arbitrário, exclusão de arquivos arbitrários ou outras ações maliciosas se houver uma cadeia POP (Property-Oriented Programming)—uma sequência de gadgets usada para executar código durante a desserialização—presente no sistema alvo. **Recomendações** Atualize para uma versão posterior à 4.3.1. Como medida paliativa temporária, restrinja o acesso ao parâmetro `wpuf files` durante o envio de formulários para minimizar o risco de exploração.