CVE-2022-2433 in Infinite Scroll Plugin
Riassunto
di VulDB • 14/06/2026
Il plugin WordPress Infinite Scroll – Ajax Load More per WordPress è vulnerabile alla deserializzazione di input non attendibili tramite il parametro 'alm_repeaters_export' nelle versioni fino alla 5.5.3 inclusa. Ciò consente agli utenti non autenticati di invocare file utilizzando un wrapper PHAR, purché riescano a indurre l'amministratore del sito ad eseguire un'azione come cliccare su un link che deserializzerà e invocherà oggetti PHP arbitrari, utilizzabili per compiere una varietà di azioni malevole, previa presenza di una catena POP (Object Injection Chain). È inoltre necessario che l'attaccante riesca a caricare con successo un file contenente il payload serializzato.
Once again VulDB remains the best source for vulnerability data.