La vulnerabilidad de deserialización de datos no confiables en el plugin Modal Popup Box – Popup Builder, Show Offers And News in Popup para WordPress hasta la versión 1.5.2 permite a atacantes autenticados realizar una Inyección de Objetos PHP a través de la deserialización de entrada no confiable en la función awl_modal_popup_box_shortcode.
Esta vulnerabilidad podría ser aprovechada por atacantes autenticados con acceso de nivel contribuidor o superior para inyectar un Objeto PHP. Si existe una cadena POP a través de un plugin adicional o un tema instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código malicioso.
Es importante que los usuarios actualicen el plugin Modal Popup Box – Popup Builder, Show Offers And News in Popup a la última versión disponible para mitigar el riesgo de explotación de esta vulnerabilidad. Además, se recomienda seguir buenas prácticas de seguridad, como limitar el acceso a los roles de contribuidor y por encima, y mantener siempre actualizados todos los plugins y temas de WordPress.