CVE-2024-13824

Nome do Software Vulnerável e Versões Afetadas: CiyaShop - Tema Multipropósito para WooCommerce versões até 4.19.0

Descrição: O problema está relacionado à Injeção de Objeto PHP via desserialização de entrada não confiável nas funções add ciyashop wishlist e ciyashop get compare. Isso permite que atacantes não autenticados injetem um Objeto PHP. No entanto, sem uma cadeia POP presente no software vulnerável, o impacto é limitado. Se uma cadeia POP estiver presente por meio de um plugin ou tema adicional, pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações: Para versões até 4.19.0, como solução alternativa temporária, considere desabilitar as funções add ciyashop wishlist e ciyashop get compare até que um patch esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.