CVE-2024-13786

Nome do Software Vulnerável e Versões Afetadas: Tema Education para WordPress, versões até a 3.6.10 inclusive

Descrição: A falha permite que atacantes não autenticados injetem um Objeto PHP via desserialização de entrada não confiável na função themerex callback view more posts. Esta vulnerabilidade não tem impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, ela pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações: Para o Tema Education para WordPress, versões até a 3.6.10 inclusive, considere desativar a função themerex callback view more posts até que um patch esteja disponível para prevenir a desserialização de entrada não confiável. Restrinja o acesso a dados e arquivos sensíveis para minimizar o risco de exploração. Evite usar entrada não confiável na função afetada para prevenir Injeção de Objeto PHP.