CVE-2024-9314

Plugin Rank Math SEO – AI SEO Tools to Dominate SEO Rankings para o WordPress, versões até e incluindo a 1.0.228

A vulnerabilidade está relacionada à injeção de objeto PHP por meio da desserialização de entradas não confiáveis na função set redirections. Isso permite que invasores autenticados com acesso de nível de administrador ou superior injetem um objeto PHP. Não há nenhuma cadeia POP conhecida presente no software vulnerável, mas se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.

Para versões até e incluindo a 1.0.228, considere desativar a função set redirections até que um patch esteja disponível para impedir a injeção de objeto PHP. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar entradas não confiáveis na função set redirections para impedir a desserialização de dados maliciosos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.