El plugin ‘BuddyPress WooCommerce My Account Integration. Create WooCommerce Member Pages’ para WordPress es vulnerable a Inyección de Objeto PHP en todas las versiones hasta, e incluyendo, la 3.4.20 a través de la deserialización de datos no confiables en la función get_simple_request.
Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor y superior, inyecten un Objeto PHP. Si existe una cadena POP a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a una versión corregida y evitar la instalación de plugins o temas no confiables que puedan introducir vulnerabilidades adicionales en el sistema.