CVE-2025-1971

Nome do Software Vulnerável e Versões Afetadas Plugin Export and Import Users and Customers para WordPress, versões até e incluindo a 2.6.2

Descrição O problema está relacionado à Injeção de Objetos PHP via desserialização de entrada não confiável do parâmetro form data. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior injetem um Objeto PHP. A vulnerabilidade não tem impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, isso pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações Para versões até e incluindo a 2.6.2, atualize para uma versão que contenha uma correção para este problema para prevenir a Injeção de Objetos PHP. Como solução alternativa temporária, considere restringir o acesso ao parâmetro form data para minimizar o risco de exploração.