CVE-2024-10913

ALT (8,8)

CVSS3: 0,0

El connector Clone per a WordPress és vulnerable a la injecció d’objectes PHP en totes les versions fins a la 2.4.6 inclosa mitjançant la desserialització d’entrada no fiable a la funció “recursive_unserialized_replace”. Això possibilita que els atacants no autenticats injectin un objecte PHP. No hi ha cap cadena POP coneguda al programari vulnerable. Si hi ha una cadena POP a través d’un complement o tema addicional instal·lat al sistema objectiu, podria permetre que l’atacant esborrés fitxers arbitraris, recuperar dades delicades o executar codi.

Sistemes Afectats

• Clone

Remediació
No hi ha cap recurs disponible a partir del 20 de novembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/16569267-ab52-4b96-86f0-d37c470a3938?source=cve
• https://plugins.trac.wordpress.org/browser/wp-clone-by-wp-academy//tags/2.4.6/lib/icit_srdb_replacer.php#L24
• https://plugins.trac.wordpress.org/browser/wp-clone-by-wp-academy/tags/2.4.7/lib/icit_srdb_replacer.php#L24