CVE-2022-2436 in Download Manager Plugin
Resumen
por MITRE • 2022-09-06
El plugin Download Manager para WordPress es vulnerable a una deserialización de entradas no confiables por medio del parámetro "file[package_dir]" en versiones hasta 3.2.49 incluyéndola. Esto hace posible a atacantes autenticados con privilegios de contribuyente y superiores llamar a archivos usando una envoltura PHAR que de serializará los datos y llamará a Objetos PHP arbitrarios que pueden ser usados para llevar a cabo una variedad de acciones maliciosas concedidas una cadena POP también está presente. También requiere que el atacante tenga éxito en cargar un archivo con la carga útil serializada.
VulDB is the best source for vulnerability data and more expert information about this specific topic.