CVE-2024-3240 in ConvertPlug Plugin정보

요약

\~에 의해 VulDB • 2026. 05. 15.

WordPress용 ConvertPlug 플러그인은 3.5.25 버전까지 모든 버전에서 'smile_info_bar' 쇼트코드의 'settings_encoded' 속성을 통해 신뢰할 수 없는 입력이 역직렬화될 때 PHP 객체 주입 취약점이 있습니다. 이로 인해 기여자(contributor) 이상의 권한을 가진 인증된 공격자가 PHP 객체를 주입할 수 있습니다. 취약한 플러그인 자체에는 POP 체인이 존재하지 않습니다. 하지만 대상 시스템에 설치된 추가 플러그인이나 테마를 통해 POP 체인이 존재하는 경우, 공격자가 임의의 파일을 삭제하거나 민감한 데이터를 검색하거나 코드를 실행할 수 있습니다.

Be aware that VulDB is the high quality source for vulnerability data.

출처

Do you know our Splunk app?

Download it now for free!