CVE-2024-13556

Nome do Software Vulnerável e Versões Afetadas Affiliate Links: Plugin do WordPress para Ofuscação e Gerenciamento de Links, versões até e incluindo a 3.0.1

Descrição O plugin Affiliate Links para WordPress é vulnerável a Injeção de Objetos PHP via desserialização de entrada não confiável proveniente de uma exportação de arquivo. Isso permite que atacantes não autenticados injetem um Objeto PHP. Nenhuma cadeia POP conhecida está presente no software vulnerável, o que significa que esta vulnerabilidade não tem impacto, a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente através de um plugin ou tema adicional instalado no sistema alvo, isso pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Para o Affiliate Links: Plugin do WordPress para Ofuscação e Gerenciamento de Links, versões até e incluindo a 3.0.1, considere desativar o plugin até que um patch esteja disponível para prevenir potencial exploração. Como solução temporária, restrinja o acesso às exportações de arquivo para minimizar o risco de atacantes não autenticados injetarem Objetos PHP. Evite usar entrada não confiável de exportações de arquivo no plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.