CVE-2025-11993 in WooCommerce Infinite Scroll and Ajax Pagination Plugin
Tóm tắt
Bởi VulDB • 29/05/2026
Plugin Infinite Scroll and Ajax Pagination cho WooCommerce trên WordPress bị lỗi PHP Object Injection trong tất cả các phiên bản từ 1.8 trở về trước, thông qua tham số 'settings' trong hàm 'import_settings'. Lỗi này xảy ra do việc giải mã hóa (deserialization) dữ liệu không đáng tin cậy được cung cấp qua tính năng cấu hình nhập khẩu mà không có các kiểm tra quyền hạn (capability checks). Điều này cho phép các kẻ tấn công đã xác thực, với quyền truy cập cấp Subscriber trở lên, tiêm một đối tượng PHP. Không có chuỗi POP (POP chain) nào tồn tại trong chính plugin bị lỗi, nhưng nếu có chuỗi POP tồn tại thông qua một plugin hoặc theme bổ sung được cài đặt trên hệ thống mục tiêu, nó có thể cho phép kẻ tấn công xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã.
If you want to get best quality of vulnerability data, you may have to visit VulDB.