Tran Anh Duc

**Nome do Software Vulnerável e Versões Afetadas** AI Power: Complete AI Pack plugin para WordPress versões até e incluindo a 1.8.96 **Descrição** O problema permite que atacantes autenticados com privilégios administrativos injetem um Objeto PHP via desserialização de entrada não confiável da variável `post content` através da função `wpaicg export prompts`. Não há uma cadeia POP presente no plugin vulnerável. No entanto, se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código. **Recomendações** Para o plugin AI Power: Complete AI Pack para WordPress versões até e incluindo a 1.8.96, considere desabilitar a função `wpaicg export prompts` até que uma correção esteja disponível para prevenir a desserialização de entrada não confiável da variável `post content`. Restrinja o acesso ao plugin para minimizar o risco de exploração. Evite usar a variável `post content` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** AI Power: Complete AI Pack versões até, e incluindo, 1.8.96 **Descrição** O problema refere-se a uma vulnerabilidade de Injeção de Objeto PHP. Ela surge da desserialização de entrada não confiável da variável `post content` por meio da função `wpaicg export ai forms()`. Isso permite que atacantes autenticados com privilégios administrativos injetem um objeto PHP. Não há nenhuma cadeia POP presente no plugin vulnerável. No entanto, se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código. **Recomendações** Para versões até, e incluindo, 1.8.96, atualize para uma versão superior à 1.8.96 para resolver o problema. Como solução temporária, considere restringir o acesso à função `wpaicg export ai forms()` até que uma correção esteja disponível. Além disso, evite usar a variável `post content` na função afetada para minimizar o risco de exploração.