CVE-2024-2694

Tema Betheme para o WordPress, versões até a 27.5.6, inclusive

A vulnerabilidade está relacionada à injeção de objeto PHP por meio da desserialização de entradas não confiáveis do valor meta da postagem mfn-page-items. Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem um objeto PHP. Não há nenhuma cadeia POP conhecida presente no plugin vulnerável, mas se uma cadeia POP estiver presente por meio de um plugin ou tema adicional, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.

Para o tema Betheme para WordPress nas versões até e incluindo a 27.5.6, atualize para uma versão superior à 27.5.6 para resolver o problema. Como solução temporária, considere restringir o acesso ao valor meta da postagem mfn-page-items para minimizar o risco de exploração. Além disso, restrinja o acesso de nível de colaborador e superior para reduzir a superfície de ataque potencial.