CVE-2024-1770

Plugin Meta Tag Manager para o WordPress, versões até a 3.0.2, inclusive

O plugin Meta Tag Manager para o WordPress está vulnerável à injeção de objetos PHP por meio da desserialização de entradas não confiáveis na função get post data. Isso possibilita que invasores autenticados, com acesso de colaborador ou superior, injetem um objeto PHP. Não há cadeia POP presente no plugin vulnerável. No entanto, se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.

Para versões até a 3.0.2, inclusive, atualize para uma versão superior à 3.0.2 para resolver o problema. Como solução temporária, considere restringir o acesso à função get post data até que um patch esteja disponível. Além disso, restrinja o acesso de colaboradores ou superior para minimizar o risco de exploração.