CVE-2024-4838

Plugin ConvertPlus para o WordPress, versões até a 3.5.26, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior injetem um objeto PHP por meio da desserialização de entradas não confiáveis do atributo settings encoded do shortcode “smile modal”. Se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.

Para versões até e incluindo a 3.5.26, atualize para uma versão que contenha uma correção para esta vulnerabilidade a fim de impedir a injeção de objeto PHP. Como solução temporária, considere restringir o acesso ao shortcode “smile modal” para minimizar o risco de exploração. Evite usar o atributo settings encoded no shortcode afetado até que a vulnerabilidade seja resolvida.