CVE-2024-13906

Nome do Software Vulnerável e Versões Afetadas The Gallery by BestWebSoft – Galerias de Imagens e Fotos Personalizáveis para WordPress, versões até a 4.7.3, inclusive

Descrição A falha permite que atacantes autenticados com acesso de nível de Administrador ou superior injetem um Objeto PHP via desserialização de entrada não confiável na função import gallery from csv. Esta vulnerabilidade não causa impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, ela pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Para versões até a 4.7.3, inclusive, como medida de contorno temporária, considere desativar a função import gallery from csv até que uma correção esteja disponível. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.