PT-2024-19603 · WordPress · Advanced Ads
Son Tran
·
Publicado
2024-05-09
·
Atualizado
2024-05-18
·
CVE-2024-2290
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Advanced Ads para o WordPress, versões até a 1.52.1, inclusive
Descrição
O plugin Advanced Ads para WordPress está vulnerável à injeção de objeto PHP por meio da desserialização de entradas não confiáveis no parâmetro
placement slug. Isso permite que invasores autenticados injetem um objeto PHP. Se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.Recomendações
Para versões até e incluindo a 1.52.1, considere desativar a deserialização de entradas não confiáveis no parâmetro
placement slug como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a dados e arquivos confidenciais para minimizar o risco de exploração. Evite usar o parâmetro placement slug em entradas não confiáveis até que o problema seja resolvido.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advanced Ads