El plugin Image Hotspot by DevVN para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.2.5 a través de la deserialización de entradas no confiables en la función ‘devvn_ihotspot_shortcode_func’. Esto permite a atacantes autenticados, con acceso de nivel Autor y superior, inyectar un Objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable. Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Image Hotspot by DevVN a la última versión disponible, en la cual se han implementado medidas de seguridad para mitigar esta vulnerabilidad. Además, se aconseja a los administradores del sitio WordPress mantener todos los plugins y temas actualizados regularmente y ser cautelosos al instalar complementos de terceros de fuentes no confiables.
Es fundamental que los propietarios de sitios web WordPress tomen medidas proactivas para proteger sus sitios contra posibles vulnerabilidades como la Inyección de Objetos PHP en Image Hotspot by DevVN. Mantener los plugins, temas y el núcleo de WordPress actualizados es una práctica recomendada para reducir la exposición a posibles ataques y garantizar la seguridad de la plataforma.