La vulnerabilidad de inyección de objetos PHP en el plugin UpdraftPlus: Plugin de Backup y Migración de WP para WordPress afecta a todas las versiones hasta, e incluyendo, la 1.24.11 a través de la deserialización de datos no confiables en la función ‘recursive_unserialized_replace’. Esto permite a atacantes no autenticados inyectar un Objeto PHP.
No se conoce una cadena de POP conocida en el software vulnerable. Si una cadena de POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código. Un administrador debe realizar una acción de búsqueda y reemplazo para activar la explotación.
Se recomienda a los usuarios de UpdraftPlus: Plugin de Backup y Migración de WP que actualicen a la última versión disponible para protegerse contra esta vulnerabilidad de inyección de objetos PHP no autenticada (CVE-2024-10957). Además, se sugiere mantener actualizados todos los plugins y temas en WordPress para reducir el riesgo de futuras vulnerabilidades de seguridad.