CVE-2024-0825

Vimeography: Plugin de galeria de vídeos do Vimeo para WordPress, versões até a 2.3.2, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de colaborador ou superior injetem um objeto PHP por meio da desserialização de entradas não confiáveis através da função vimeography duplicate gallery serialized na função duplicate gallery. Se houver uma cadeia POP por meio de um plugin ou tema adicional, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.

Para versões até e incluindo a 2.3.2, considere desativar a função duplicate gallery até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à variável vimeography duplicate gallery serialized para minimizar o risco de injeção de objeto PHP. Evite usar a variável vimeography duplicate gallery serialized na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.