La vulnerabilidad CVE-2024-1731 en el plugin Auto Refresh Single Page para WordPress permite la inyección de objetos PHP a través de la deserialización de datos no confiables. Esto podría ser aprovechado por atacantes autenticados con acceso de contribuidor o superior para realizar diversas acciones maliciosas.
La versión 1.1 y anteriores del plugin Auto Refresh Single Page para WordPress son vulnerables a la inyección de objetos PHP a través de la deserialización de la entrada no confiable desde la opción meta de publicación arsp_options. Esto permite a los atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar un Objeto PHP. No se conoce ninguna cadena POP presente en el plugin vulnerable. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios que actualicen el plugin Auto Refresh Single Page a la última versión disponible. Además, se debe controlar y restringir el acceso de los usuarios con roles de contribuidor o superiores para reducir el riesgo de explotación de esta vulnerabilidad.