La vulnerabilidad de Inyección de Objeto PHP en el plugin de Shortcodes y características adicionales para el tema Phlox para WordPress afecta a todas las versiones hasta, e incluyendo, la 2.15.2 a través de la deserialización de una entrada no confiable del parámetro ‘id’ en la función ‘auxin_template_control_importer’. Esto permite a atacantes autenticados subir un payload PHAR separado como un archivo de imagen para inyectar un Objeto PHP, aunque la acción en sí misma está disponible para suscriptores. No se presenta una cadena de POP en el plugin vulnerable. Si existe una cadena de POP a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Los usuarios afectados deben actualizar el plugin Shortcodes y características adicionales para el tema Phlox a la versión más reciente disponible para mitigar el riesgo de inyección de objetos PHP. Además, se recomienda revisar detenidamente los plugins y temas adicionales instalados en el sistema para asegurarse de que no presenten vulnerabilidades similares que podrían ser aprovechadas por un atacante. También se aconseja a los usuarios tener cuidado al cargar archivos de imagen y verificar la procedencia de los mismos para evitar la ejecución de código malicioso.
Es importante tomar medidas proactivas para protegerse contra posibles vulnerabilidades como la Inyección de Objeto PHP en el plugin Shortcodes y características adicionales para el tema Phlox. Mantener todos los plugins, temas y el propio WordPress actualizados, así como seguir las mejores prácticas de seguridad en todo momento, ayudará a reducir la superficie de ataque y mantener el sitio seguro.