CVE-2025-0429

Nome do Software Vulnerável e Versões Afetadas AI Power: Complete AI Pack versões até, e incluindo, 1.8.96

Descrição O problema refere-se a uma vulnerabilidade de Injeção de Objeto PHP. Ela surge da desserialização de entrada não confiável da variável post content por meio da função wpaicg export ai forms(). Isso permite que atacantes autenticados com privilégios administrativos injetem um objeto PHP. Não há nenhuma cadeia POP presente no plugin vulnerável. No entanto, se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações Para versões até, e incluindo, 1.8.96, atualize para uma versão superior à 1.8.96 para resolver o problema. Como solução temporária, considere restringir o acesso à função wpaicg export ai forms() até que uma correção esteja disponível. Além disso, evite usar a variável post content na função afetada para minimizar o risco de exploração.