La vulnerabilidad de deserialización de datos no confiables en el plugin de programación de turnos de empleados ShiftController Employee Shift Scheduling permite la inyección de objetos PHP a través de la deserialización de entradas no confiables a través de la cookie `hc3_session` en versiones hasta, e incluyendo, la 4.9.57.
Esto hace posible que un atacante autenticado con nivel de acceso de contribuidor o superior inyecte un Objeto PHP. No hay ninguna cadena POP presente en el plugin vulnerable. Si una cadena POP está presente a través de un plugin adicional o tema instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin ShiftController Employee Shift Scheduling a una versión superior a la 4.9.57. Además, se sugiere monitorear de cerca la instalación de plugins y temas adicionales en el sistema para evitar posibles cadenas POP que puedan ser explotadas por atacantes.