CVE-2024-10936

Nome do Software Vulnerável e Versões Afetadas Plugin String Locator para WordPress versões até a 2.6.6

Descrição O plugin String Locator para WordPress está vulnerável a Injeção de Objetos PHP devido à desserialização de entrada não confiável na função recursive unserialize replace. Isso permite que atacantes não autenticados injetem um Objeto PHP. Caso exista uma cadeia POP disponível através de um plugin ou tema adicional, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código. Um administrador deve realizar uma ação de pesquisa e substituição para acionar o exploit.

Recomendações Para versões até a 2.6.6, como solução temporária, considere desativar a função recursive unserialize replace até que um patch esteja disponível. Restrinja o acesso ao plugin para minimizar o risco de exploração. Evite utilizar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.