PT-2021-16339 · WordPress · Totolink
Muhammed Kara
·
Publicado
2021-12-13
·
Atualizado
2021-12-16
·
CVE-2021-24857
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Plugin ToTop Link para WordPress, versões 1.7.1 e anteriores
Descrição:
O problema decorre do fato de o plugin ToTop Link para WordPress passar entradas do usuário codificadas em base64 para a função PHP
unserialize(). Isso poderia potencialmente levar à injeção de objetos PHP caso um plugin instalado no blog possua uma cadeia de gadgets adequada.Recomendações:
Para as versões 1.7.1 e anteriores do plugin ToTop Link para WordPress, considere atualizar para uma versão que não passe entradas do usuário para a função
unserialize() sem a devida validação, ou restrinja temporariamente o uso da função unserialize() no plugin até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink