La vulnerabilidad de deserialización de datos no confiables en el plugin Link Whisper Free para WordPress, en todas las versiones hasta la 0.7.1, permite la inyección de objetos PHP a través de la deserialización de la entrada no confiable del valor ‘mfn-page-items’ en el meta valor de la publicación. Esto hace posible que atacantes autenticados, con acceso de nivel contribuidor y superior, inyecten un Objeto PHP. No se ha encontrado ninguna cadena POP conocida en el plugin vulnerable. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Link Whisper Free a la versión más reciente disponible (superior a 0.7.1) lo antes posible. Además, se sugiere revisar y desinstalar cualquier plugin o tema adicional sospechoso que pueda haber sido instalado en el sistema que pudiera facilitar la explotación de esta vulnerabilidad. Es fundamental mantener actualizados todos los componentes de WordPress y realizar auditorías de seguridad periódicas para detectar posibles amenazas.
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios de WordPress contra posibles ataques y vulnerabilidades. Mantenerse informado sobre las actualizaciones de seguridad y seguir buenas prácticas de seguridad cibernética son pasos fundamentales para mantener la integridad y la seguridad de su sitio web.