CVE-2024-13831

Nome do Software Vulnerável e Versões Afetadas Plugin Tabs for WooCommerce para WordPress, versões até e incluindo a 1.0.0

Descrição O problema permite que atacantes autenticados com acesso de nível Gerente de Loja (Shop Manager) ou superior injetem um Objeto PHP através da desserialização de entrada não confiável na função product has custom tabs. Isso não tem impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, isso pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Para versões até e incluindo a 1.0.0, considere desativar a função product has custom tabs até que um patch esteja disponível para prevenir potencial Injeção de Objeto PHP. Restrinja o acesso a dados e arquivos sensíveis para minimizar o risco de exploração caso uma cadeia POP esteja presente através de um plugin ou tema adicional.