CVE-2024-9511

FluentSMTP – Plugin SMTP para WordPress com Amazon SES, SendGrid, MailGun, Postmark, Google e qualquer provedor SMTP; versões anteriores à 2.2.82

O plugin FluentSMTP para WordPress está vulnerável à injeção de objetos PHP por meio da desserialização de entradas não confiáveis na função formatResult. Isso permite que invasores não autenticados injetem um objeto PHP. Não há nenhuma cadeia POP conhecida presente no software vulnerável, mas se uma cadeia POP estiver presente por meio de um plugin ou tema adicional, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código. A vulnerabilidade foi parcialmente corrigida na versão 2.2.82. Mais de 300.000 sites WordPress estão potencialmente expostos a esse problema.

Para versões anteriores à 2.2.82, atualize para uma versão que inclua a correção parcial, como a versão 2.2.82, para mitigar o risco de injeção de objeto PHP. Como solução temporária, considere restringir o acesso à função formatResult até que uma correção mais abrangente esteja disponível. Além disso, os usuários devem ter cuidado ao instalar plugins ou temas adicionais que possam introduzir uma cadeia POP, agravando a vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção completa para essa vulnerabilidade.