CVE-2024-13770

Nome do Software Vulnerável e Versões Afetadas The Puzzles | WP Magazine / Review with Store WordPress Theme + tema RTL para WordPress, versões até e incluindo a 4.2.4

Descrição O problema envolve Injeção de Objeto PHP via desserialização de entrada não confiável na ação AJAX 'view more posts'. Isso permite que atacantes não autenticados injetem um Objeto PHP. No entanto, sem uma cadeia POP presente no software vulnerável ou em um plugin/tema adicional, o impacto é limitado. Se uma cadeia POP estiver presente, isso poderia permitir ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia. O software foi removido do repositório e nenhuma atualização está disponível.

Recomendações Para versões até e incluindo a 4.2.4, considere encontrar um software substituto, pois o desenvolvedor o removeu do repositório e nenhuma atualização está disponível. Como medida de contorno temporária, considere desabilitar a ação AJAX 'view more posts' até que um software substituto seja implementado. Restrinja o acesso a dados e arquivos sensíveis para minimizar danos potenciais em caso de exploração.