La vulnerabilidad CVE-2024-7486 afecta al tema MultiPurpose para WordPress, permitiendo la inyección de objetos PHP a través de la deserialización de datos no confiables en la meta de la publicación ‘wpeden_post_meta’. Esta vulnerabilidad puede ser aprovechada por atacantes autenticados con nivel de acceso Contributor y superior.
La deserialización de datos no confiables en el tema MultiPurpose de WordPress hasta la versión 1.2.0 permite a un atacante autenticado inyectar un objeto PHP. No se ha identificado ninguna cadena POP (Privilege of Process) en el software vulnerable, pero si existe una cadena POP a través de un plugin o tema adicional instalado en el sistema objetivo, el atacante podría eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código malicioso.
Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del tema MultiPurpose y asegurarse de mantener todos los plugins y temas instalados actualizados. Además, se sugiere limitar los privilegios de los usuarios en WordPress para reducir el riesgo de ataques de inyección de objetos PHP.