El plugin Photo Video Gallery Master para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 1.5.3 a través de la deserialización de la entrada no confiable del parámetro ‘PVGM_all_photos_details’. Esto hace posible que atacantes autenticados, con acceso de nivel Contribuidor y superior, inyecten un objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable. Si una cadena POP está presente a través de un plugin adicional o tema instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Los usuarios afectados por esta vulnerabilidad deben actualizar de inmediato a la última versión del plugin, en este caso, a la versión 1.5.4 o posterior. Además, se recomienda revisar y restringir los permisos de los usuarios con roles de Contribuidor y superiores para limitar la posibilidad de inyecciones de objetos. Como medida de precaución adicional, se sugiere monitorear de cerca cualquier actividad sospechosa en el sitio web y realizar copias de seguridad periódicas para recuperarse en caso de un ataque exitoso.
Es fundamental mantenerse al día con las actualizaciones de seguridad y adoptar buenas prácticas de seguridad cibernética para protegerse contra posibles vulnerabilidades como la Inyección de Objetos PHP en el plugin Photo Video Gallery Master. La colaboración de los usuarios, en términos de mantener sus plugins actualizados y restringir los permisos de los usuarios, es clave para mitigar los riesgos de seguridad en sus sitios web.