Hoanpk

**Nome do software vulnerável e versões afetadas** Versões do plugin até a 2.6.3, inclusive **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador injetem um objeto PHP por meio da desserialização de entradas não confiáveis na função de importação, utilizando o parâmetro `shortcode`. Se houver uma cadeia POP por meio de um plugin ou tema adicional, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código. **Recomendações** Para versões até e incluindo a 2.6.3, atualize para uma versão que corrija a vulnerabilidade de injeção de objeto PHP para evitar a exploração. Como solução temporária, considere restringir o acesso à função de importação e ao parâmetro `shortcode` para minimizar o risco de exploração.