PT-2025-51078 · WordPress · Doubly – Cross Domain Copy Paste For Wordpress
Bartłomiej Bergier
·
Publicado
2025-12-13
·
Atualizado
2025-12-18
·
CVE-2025-14476
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin Doubly – Cross Domain Copy Paste for WordPress versões até e incluindo a 1.0.46
Descrição
O plugin Doubly – Cross Domain Copy Paste for WordPress está suscetível a Injeção de Objeto PHP. Isso ocorre através da desserialização de entrada não confiável proveniente do arquivo
content.txt dentro de arquivos ZIP enviados. Atacantes com acesso de nível de Assinante ou superior podem injetar um Objeto PHP, e a presença de uma cadeia de Payload de Objeto PHP (POP) permite a execução arbitrária de código, exclusão de arquivos e recuperação de dados sensíveis. Isso só é explorável quando os administradores habilitaram explicitamente o acesso para assinantes.Recomendações
Atualize o plugin Doubly – Cross Domain Copy Paste for WordPress para uma versão posterior à 1.0.46.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Doubly – Cross Domain Copy Paste For Wordpress