CVE-2024-2006

O plugin Post Grid, Slider & Carousel Ultimate para o WordPress, versões até a 1.6.7, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior injetem um objeto PHP por meio da desserialização de entradas não confiáveis na função outpost shortcode metabox markup. Se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.

Para versões até a 1.6.7, inclusive, atualize para uma versão superior à 1.6.7 para resolver o problema. Como solução temporária, considere restringir o acesso à função outpost shortcode metabox markup até que um patch esteja disponível. Além disso, verifique os plugins e temas instalados em busca de possíveis cadeias POP e atualize-os ou remova-os conforme necessário para minimizar o risco de exploração.