CVE-2024-13789

Nome do Software Vulnerável e Versões Afetadas Plugin Ravpage para WordPress versões até e incluindo a 2.31

Descrição A questão envolve uma vulnerabilidade de Injeção de Objeto PHP via desserialização de entrada não confiável do parâmetro paramsv2. Isso permite que atacantes não autenticados injetem um Objeto PHP. A vulnerabilidade não tem impacto, a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, isso pode permitir que atacantes realizem ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Para versões até e incluindo a 2.31, considere desativar a desserialização de entrada do parâmetro paramsv2 até que uma correção esteja disponível. Restrinja o acesso ao plugin ravpage para minimizar o risco de exploração. Evite usar o parâmetro paramsv2 no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.