La vulnerabilidad de deserialización de datos no seguros en el tema Betheme para WordPress en todas las versiones hasta, e incluyendo, la 27.5.6 permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar un Objeto PHP a través de la deserialización de la entrada no segura del valor ‘mfn-page-items’ en la meta del post. No se ha encontrado una cadena POP conocida en el plugin vulnerable. Si una cadena POP está presente a través de un plugin adicional o un tema instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para subsanar este problema, se recomienda a los usuarios actualizar Betheme a la última versión disponible. Asimismo, se insta a los administradores a monitorear de cerca la instalación de plugins y temas adicionales en sus sitios de WordPress, asegurándose de que estén actualizados y provengan de fuentes confiables. Además, se aconseja a los usuarios mantener copias de seguridad regulares de sus sitios y bases de datos para poder restaurar la información en caso de un ataque exitoso.
La importancia de mantener actualizados tanto el tema principal como cualquier plugin o tema adicional instalado en un sitio de WordPress es crucial para mantener la seguridad de la plataforma y prevenir posibles riesgos de seguridad, como la inyección de objetos PHP.