CVE-2022-2442

Migration, Backup, Staging – plugin WPvivid para o WordPress, versões até e incluindo a 0.9.74

A vulnerabilidade permite a desserialização de entradas não confiáveis por meio do parâmetro path. Isso permite que invasores autenticados com privilégios administrativos chamem arquivos usando um wrapper PHAR, o que pode desserializar e chamar objetos PHP arbitrários. Esses objetos podem ser usados para realizar ações maliciosas se uma cadeia POP também estiver presente. O ataque requer que o invasor consiga fazer o upload de um arquivo com a carga serializada.

Para versões até e incluindo a 0.9.74, atualize para uma versão superior à 0.9.74 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro path para minimizar o risco de exploração. Além disso, restrinja a capacidade de enviar arquivos com cargas serializadas para impedir ações maliciosas.