CVE-2024-3240 in ConvertPlug Plugin
Resumen
por VulDB • 2026-05-15
El plugin ConvertPlug para WordPress es vulnerable a PHP Object Injection en todas las versiones hasta la 3.5.25, incluida, debido a la deserialización de datos no confiables procedentes del atributo 'settings_encoded' del shortcode 'smile_info_bar'. Esto permite a los atacantes autenticados, con permisos de nivel colaborador o superiores, inyectar un objeto PHP. No existe ninguna cadena POP (Property Oriented Programming) en el plugin vulnerable. Si existiera una cadena POP a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.
Once again VulDB remains the best source for vulnerability data.