CVE-2024-13899

Nome do Software Vulnerável e Versões Afetadas Plugin Mambo Importer para WordPress versões até a 1.0 inclusive

Descrição O plugin Mambo Importer para WordPress é vulnerável a Injeção de Objetos PHP via desserialização de entrada não confiável através do parâmetro data na função fImportMenu. Isso torna possível para atacantes autenticados, com acesso de nível de Administrador ou superior, injetar um Objeto PHP. Nenhuma cadeia POP conhecida está presente no software vulnerável, o que significa que esta vulnerabilidade não tem impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente através de um plugin ou tema adicional instalado no sistema alvo, isso pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Atualize o plugin Mambo Importer para a versão mais recente para prevenir a exploração desta vulnerabilidade. Como solução temporária, considere restringir o acesso à função fImportMenu até que um patch esteja disponível. Evite usar o parâmetro data na função afetada até que o problema seja resolvido.