La vulnerabilidad CVE-2024-3054 afecta al plugin WPvivid Backup & Migration Plugin para WordPress, permitiendo a atacantes autenticados (con nivel de admin o superior) realizar deserialización de datos no confiables a través de la acción wpvividstg_get_custom_exclude_path_free.
La vulnerabilidad radica en la falta de validación suficiente de la ruta en el parámetro tree_node[node][id], lo que posibilita a los atacantes autenticados llamar archivos utilizando un envoltorio PHAR que deserializará los datos y llamará a Objetos PHP arbitrarios. Esta vulnerabilidad no presenta una cadena de operaciones popular (POP chain) en el plugin afectado, pero si existe a través de otro plugin o tema instalado en el sistema de destino, el atacante podría eliminar archivos arbitrarios, obtener datos sensibles o ejecutar código.
Es crucial que los usuarios actualicen WPvivid Backup & Migration Plugin a la versión más reciente para mitigar el riesgo de explotación de esta vulnerabilidad. Además, se recomienda extremar las precauciones al instalar plugins y temas de terceros en WordPress para reducir la exposición a posibles amenazas de seguridad.