El plugin de Historial de Eventos de Línea de Tiempo para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.1 a través de la deserialización de la entrada no confiable del parámetro ‘timelines-data’. Esto hace posible que atacantes autenticados, con acceso de nivel Contributor y superior, inyecten un Objeto PHP. No se ha encontrado ninguna cadena de POP conocida en el software vulnerable. Si una cadena de POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin Historial de Eventos de Línea de Tiempo a la última versión disponible (mayor que la 3.1) para mitigar el riesgo de inyección de objetos PHP. Además, se recomienda a los usuarios revisar los permisos de los roles de usuario asignados en WordPress para limitar el acceso de Contributor y, en general, seguir las mejores prácticas de seguridad, como no confiar en datos no confiables y mantener todos los plugins y temas actualizados.
Es crucial tomar medidas proactivas para protegerse contra posibles ataques de inyección de objetos PHP en WordPress. Al actualizar el plugin afectado y seguir las prácticas recomendadas de seguridad, los usuarios pueden reducir significativamente la superficie de ataque y minimizar el riesgo de explotación de la vulnerabilidad CVE-2024-5726.