CVE-2024-9664

Nome do Software Vulnerável e Versões Afetadas Versões do WP All Import Pro até e incluindo a 4.9.7

Descrição O plugin WP All Import Pro para WordPress é vulnerável a Injeção de Objeto PHP via desserialização de entrada não confiável de um arquivo de importação. Isso possibilita que atacantes autenticados, com acesso de nível de Administrador ou superior, injetem um Objeto PHP. Nenhuma cadeia POP conhecida está presente no software vulnerável. No entanto, se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.

Recomendações Para versões até e incluindo a 4.9.7, atualize para uma versão superior à 4.9.7 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de importação para minimizar o risco de exploração. Além disso, evite usar arquivos de importação não confiáveis até que o problema seja resolvido.