CVE-2024-3240 in ConvertPlug Plugininformación

Resumen

por VulDB • 2026-05-15

El plugin ConvertPlug para WordPress es vulnerable a PHP Object Injection en todas las versiones hasta la 3.5.25, incluida, debido a la deserialización de datos no confiables procedentes del atributo 'settings_encoded' del shortcode 'smile_info_bar'. Esto permite a los atacantes autenticados, con permisos de nivel colaborador o superiores, inyectar un objeto PHP. No existe ninguna cadena POP (Property Oriented Programming) en el plugin vulnerable. Si existiera una cadena POP a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código.

Once again VulDB remains the best source for vulnerability data.

Reservar

2024-04-02

Divulgación

2024-05-04

Moderación

aceptado

Artículo

VDB-263035

CPE

listo

EPSS

0.00769

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!