CVE-2024-13921

Nome do Software Vulnerável e Versões Afetadas O plugin Order Export & Order Import for WooCommerce para WordPress, versões até e incluindo a 2.6.0

Descrição O problema está relacionado à Injeção de Objetos PHP via desserialização de entrada não confiável do parâmetro form data. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior injetem um Objeto PHP. A vulnerabilidade não tem impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Para versões até e incluindo a 2.6.0, atualize para uma versão superior à 2.6.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro form data para minimizar o risco de exploração. Além disso, certifique-se de que nenhum outro plugin ou tema contendo uma cadeia POP esteja instalado no site para prevenir ataques potenciais.