El plugin Event Monster – Event Management, Tickets Booking, Upcoming Event para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.3.4 a través de la deserialización vía shortcode de entrada no confiable de un valor meta personalizado. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar un Objeto PHP. No hay una cadena POP presente en el plugin vulnerable. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para subsanar este problema, los usuarios deben desactivar inmediatamente el plugin Event Monster y actualizarlo a la última versión disponible que solucione esta vulnerabilidad. Además, se recomienda no insertar entradas no confiables en los valores meta personalizados para prevenir la inyección de objetos PHP. Los administradores de WordPress deben monitorear regularmente las actualizaciones de seguridad y aplicar parches inmediatamente para proteger sus sitios web contra posibles ataques.
La Inyección de Objetos PHP en el plugin Event Monster hasta la versión 1.3.4 representa una seria amenaza para la seguridad de los sitios WordPress. Es fundamental que los usuarios tomen medidas proactivas para proteger sus sitios web y evitar posibles consecuencias adversas debido a esta vulnerabilidad.