Vulnerabilidad en plugin Frontend Admin by DynamiApps para WordPress (CVE-2026-3328)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
26/03/2026
Última modificación:
26/03/2026
Descripción
El plugin Frontend Admin de DynamiApps para WordPress es vulnerable a Inyección de Objetos PHP a través de la deserialización del 'post_content' de publicaciones de tipo admin_form en todas las versiones hasta la 3.28.31, inclusive. Esto se debe al uso de la función 'maybe_unserialize()' de WordPress sin restricciones de clase en el contenido controlable por el usuario almacenado en el contenido de publicaciones de tipo admin_form. Esto permite a atacantes autenticados, con acceso de nivel Editor o superior, inyectar un Objeto PHP. La presencia adicional de una cadena POP permite a los atacantes lograr ejecución remota de código.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/acf-frontend-form-element/tags/3.28.27/main/admin/admin-pages/forms/settings.php#L419
- https://plugins.trac.wordpress.org/browser/acf-frontend-form-element/trunk/main/admin/admin-pages/forms/settings.php#L419
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3486785%40acf-frontend-form-element&new=3486785%40acf-frontend-form-element
- https://www.wordfence.com/threat-intel/vulnerabilities/id/0faa8f07-88c1-4638-9de5-e202807866e1?source=cve