El plugin Play.ht – Haz tus Publicaciones de Blog Accesibles con Texto a Voz Audio para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.6.4 a través de la deserialización de datos no confiables del campo play_podcast_data en los metadatos del post. Esto permite a atacantes autenticados, con acceso de nivel de contribuidor y superior, inyectar un Objeto PHP. No se conoce una cadena POP presente en el plugin vulnerable. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Play.ht – Haz tus Publicaciones de Blog Accesibles con Texto a Voz Audio a la última versión disponible. Además, se recomienda revisar y restringir los permisos de usuario en WordPress para evitar que atacantes autenticados puedan realizar acciones maliciosas. Asimismo, es importante mantener actualizados todos los plugins, temas y versiones de WordPress para mitigar posibles vulnerabilidades en el sistema.
Es fundamental estar al tanto de las vulnerabilidades presentes en plugins y temas de WordPress, y tomar medidas proactivas para proteger la seguridad de nuestro sitio web. La actualización regular de plugins y temas, así como la implementación de buenas prácticas de seguridad, son clave para mantener un entorno en línea seguro y protegido contra posibles ataques.