El complemento Advanced Order Export For WooCommerce para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.5.5 a través de la deserialización de datos no confiables durante la exportación de pedidos cuando la opción ‘Intentar convertir valores serializados’ está habilitada. Esto permite a atacantes no autenticados inyectar un Objeto PHP. La presencia adicional de una cadena de POP permite a los atacantes eliminar archivos arbitrarios en el servidor, lo que puede llevar fácilmente a la ejecución de código remoto cuando se elimina el archivo correcto (como wp-config.php).
Los usuarios afectados por esta vulnerabilidad deben deshabilitar temporalmente la opción ‘Intentar convertir valores serializados’ en la configuración del complemento Advanced Order Export For WooCommerce. Además, se recomienda actualizar el complemento a la versión más reciente disponible que solucione este problema de seguridad. Se deben monitorear los archivos del servidor en busca de cambios no autorizados y realizar copias de seguridad regulares para mitigar los riesgos asociados con esta vulnerabilidad.
Es crucial que los propietarios de sitios web que utilizan el complemento Advanced Order Export For WooCommerce tomen medidas inmediatas para proteger sus sitios de posibles ataques. Al seguir las recomendaciones mencionadas, se puede reducir significativamente la exposición a esta vulnerabilidad de Inyección de Objetos PHP en WordPress.