CVE-2024-11465

Nome do Software Vulnerável e Versões Afetadas Plugin Custom Product Tabs for WooCommerce para WordPress versões até, e incluindo, 1.8.5

Descrição O problema refere-se a uma vulnerabilidade de Injeção de Objetos PHP via desserialização de entrada não confiável no parâmetro de post meta yikes woo products tabs. Isso permite que atacantes autenticados com acesso de nível Gerente de Loja ou superior injetem um Objeto PHP. Nenhuma cadeia POP conhecida está presente no software vulnerável, mas, se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações Para versões até, e incluindo, 1.8.5, considere desabilitar o parâmetro de post meta yikes woo products tabs até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso ao plugin Custom Product Tabs for WooCommerce para minimizar o risco de exploração. Evite usar o parâmetro yikes woo products tabs no post meta afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.