PT-2025-50846 · WordPress · Visitor Logic Lite
Ivan Cese
·
Publicado
2025-12-12
·
Atualizado
2025-12-17
·
CVE-2025-14044
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin Visitor Logic Lite para WordPress versões até e incluindo a 1.0.3
Descrição
O plugin Visitor Logic Lite para WordPress é suscetível a Injeção de Objetos PHP devido à desserialização de entrada não confiável do cookie
lpblocks. A função lp track() passa dados de cookie não sanitizados diretamente para a função unserialize(), permitindo que potenciais atacantes injetem um Objeto PHP. Embora não exista nenhuma cadeia POP conhecida dentro do próprio software vulnerável, a presença de uma cadeia POP via um plugin ou tema adicional poderia permitir que atacantes excluam arquivos arbitrários, recuperem dados sensíveis ou executem código, desde que tenham acesso ao site WordPress.Recomendações
Atualize o plugin Visitor Logic Lite para uma versão superior à 1.0.3.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Visitor Logic Lite