La vulnerabilidad de deserialización de datos no confiables en el plugin Grid Gallery – Photo Image Grid Gallery para WordPress permite la inyección de objetos PHP en todas las versiones hasta, e incluyendo, la 1.4.3 a través de la deserialización a través de shortcode de la entrada de datos no confiable del valor meta awl_gg_settings_. Esto permite a atacantes autenticados, con acceso de contribuidor y superior, inyectar un Objeto PHP. No se encuentra presente una cadena POP en el plugin vulnerable. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
La vulnerabilidad CVE-2024-1897, conocida como ‘Deserialization of Untrusted Data’, afecta al plugin Grid Gallery – Photo Image Grid Gallery para WordPress hasta la versión 1.4.3. Los usuarios pueden protegerse de esta vulnerabilidad asegurándose de mantener su plugin actualizado a la última versión disponible. Además, se recomienda no confiar en entradas de datos no confiables y realizar una revisión de los permisos de los usuarios para limitar el acceso de contribuidores y roles superiores.
Es crucial para los usuarios de WordPress mantener sus plugins actualizados y seguir prácticas de seguridad recomendadas para proteger sus sitios web de posibles vulnerabilidades como la inyección de objetos PHP. Al ser conscientes de los riesgos potenciales y tomar medidas preventivas, se puede reducir significativamente la exposición a ataques cibernéticos.