CVE-2022-2442 in WPvivid Plugin
Riassunto
di VulDB • 19/06/2026
Il plugin WPvivid per WordPress, relativo alle funzionalità di Migrazione, Backup e Staging, è vulnerabile alla deserializzazione di input non attendibile tramite il parametro 'path' nelle versioni fino alla 0.9.74 incluse. Ciò consente agli attaccanti autenticati con privilegi amministrativi di invocare file utilizzando un wrapper PHAR che deserializzerà ed eseguirà oggetti PHP arbitrari, potenzialmente utilizzati per eseguire una varietà di azioni malevole, purché sia presente anche una catena POP (Property-Oriented Programming). È inoltre necessario che l'attaccante riesca a caricare un file contenente il payload serializzato.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.