CVE-2022-2438

Plugin Broken Link Checker para versões do WordPress até a 1.11.16, inclusive

O plugin Broken Link Checker para o WordPress está vulnerável à desserialização de entradas não confiáveis por meio do valor $log file. Isso permite que invasores autenticados com privilégios administrativos ou superiores chamem arquivos usando um wrapper PHAR, o que pode desserializar os dados e chamar objetos PHP arbitrários. Esses objetos podem ser usados para realizar ações maliciosas se uma cadeia POP também estiver presente. O ataque requer que o invasor consiga fazer o upload de um arquivo com a carga serializada.

Para versões até e incluindo a 1.11.16, atualize para uma versão que contenha uma correção para este problema, a fim de impedir a desserialização de entradas não confiáveis.

Como solução alternativa temporária, considere restringir o acesso ao valor $log file para minimizar o risco de exploração.