Vulnerabilidad en The Gallery by BestWebSoft – Customizable Image and Photo Galleries for WordPress para WordPress (CVE-2024-13906)

El complemento The Gallery by BestWebSoft – Customizable Image and Photo Galleries for WordPress para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 4.7.3 incluida, a través de la deserialización de entradas no confiables en la función 'import_gallery_from_csv'. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, inyecten un objeto PHP. No hay ninguna cadena POP conocida presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que se instale en el sitio otro complemento o tema que contenga una cadena POP. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código según la cadena POP presente.