CVE-2025-0428

Nome do Software Vulnerável e Versões Afetadas AI Power: Complete AI Pack plugin para WordPress versões até e incluindo a 1.8.96

Descrição O problema permite que atacantes autenticados com privilégios administrativos injetem um Objeto PHP via desserialização de entrada não confiável da variável post content através da função wpaicg export prompts. Não há uma cadeia POP presente no plugin vulnerável. No entanto, se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações Para o plugin AI Power: Complete AI Pack para WordPress versões até e incluindo a 1.8.96, considere desabilitar a função wpaicg export prompts até que uma correção esteja disponível para prevenir a desserialização de entrada não confiável da variável post content. Restrinja o acesso ao plugin para minimizar o risco de exploração. Evite usar a variável post content na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.