CVE-2022-3861

Tema Betheme para o WordPress, versões até a 26.5.1.4, inclusive

A vulnerabilidade diz respeito à injeção de objeto PHP por meio da desserialização de entradas não confiáveis. Isso é possibilitado pelos parâmetros import, mfn-items-import-page e mfn-items-import passados pelas funções mfn builder import, mfn builder import page, importdata, importsinglepage e importfromclipboard. Intrusos autenticados com permissões de nível de colaborador ou superiores podem injetar um objeto PHP, o que pode permitir que executem código, recuperem dados confidenciais ou excluam arquivos caso exista uma cadeia POP.

Para versões até a 26.5.1.4, inclusive, considere desativar as funções mfn builder import, mfn builder import page, importdata, importsinglepage e importfromclipboard como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos parâmetros import, mfn-items-import-page e mfn-items-import para minimizar o risco de exploração. Evite usar esses parâmetros nas funções afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.