PT-2024-23854 · WordPress · Wordpress

Peterwilsoncc

·

Publicado

2024-04-04

·

Atualizado

2026-02-12

·

CVE-2024-31211

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 6.4.0 a 6.4.1 do WordPress
Descrição
A vulnerabilidade permite a execução de código por meio do método mágico destruct() da classe WP HTML Token ao des-serializar suas instâncias. Esta vulnerabilidade foi corrigida no WordPress 6.4.2 em 6 de dezembro de 2023.
Recomendações
Para as versões 6.4.0 a 6.4.1, atualize para o WordPress 6.4.2 ou posterior para resolver o problema. Como solução temporária, considere desativar a deserialização das instâncias da classe WP HTML Token até que um patch esteja disponível.

Exploit

Correção

RCE

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

BIT-WORDPRESS-2024-31211
BIT-WORDPRESS-MULTISITE-2024-31211
CVE-2024-31211
GHSA-M257-Q4M5-J653

Produtos afetados

Wordpress