La vulnerabilidad CVE-2024-7560 en el tema News Flash para WordPress permite la inyección de objetos PHP a través de la deserialización de datos no confiables. Esto puede ser aprovechado por atacantes autenticados con acceso de Editor o superior para inyectar un objeto PHP en el sistema.
El tema News Flash para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta, e incluyendo, la 1.1.0, a través de la deserialización de la entrada no confiable del valor meta newsflash_post_meta. Esto hace posible que los atacantes autenticados, con acceso de Editor o superior, inyecten un objeto PHP. No se conoce ninguna cadena POP en el software vulnerable. Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del tema News Flash tan pronto como esté disponible. Además, se debe ser precavido al instalar complementos o temas adicionales en el sistema, ya que podrían introducir nuevas vulnerabilidades. Mantener el software actualizado y realizar auditorías de seguridad periódicas también son buenas prácticas para protegerse contra posibles ataques.