CVE-2024-10942

Nome do Software Vulnerável e Versões Afetadas: Plugin All-in-One WP Migration and Backup para WordPress, versões até a 7.89, inclusive

Descrição: A vulnerabilidade permite que atacantes não autenticados injetem um Objeto PHP por meio da desserialização de entrada não confiável na função replace serialized values. Se uma cadeia POP estiver presente, possivelmente por meio de um plugin ou tema adicional, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código. O exploit pode ser desencadeado quando um administrador exporta e restaura um backup.

Recomendações: Para versões até a 7.89, inclusive, atualize para uma versão que corrija a vulnerabilidade de Injeção de Objeto PHP para prevenir a exploração. Como medida temporária, considere restringir o acesso à função replace serialized values até que uma correção esteja disponível.