CVE-2024-1792 in CMB2 Plugininformação

Sumário

de VulDB • 01/06/2026

O plugin CMB2 para WordPress é vulnerável a PHP Object Injection em todas as versões até, e incluindo, a 2.10.1, devido à desserialização de entrada não confiável no campo text_datetime_timestamp_timezone. Isso permite que atacantes autenticados, com acesso de contribuidor ou superior, injetem um objeto PHP. Não há uma cadeia POP (Pop Chain) presente no plugin vulnerável. Se uma cadeia POP estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o atacante exclua arquivos arbitrários, recupere dados sensíveis ou execute código. Observe que o plugin é um kit de ferramentas para desenvolvedores. Para que a vulnerabilidade se torne explorável, é necessária a presença de uma ativação de metabox no seu código (por exemplo, via functions.php).

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Wordfence

Reservar

22/02/2024

Divulgação

09/04/2024

Moderação

aceite

Entrada

VDB-259202

CPE

pronto

EPSS

0.00822

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!