Vulnerabilidad en Advanced AJAX Product Filters (CVE-2026-1426)

El plugin Advanced AJAX Product Filters para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 3.1.9.6, inclusive, a través de la deserialización de entrada no confiable en la función shortcode_check dentro de la capa de compatibilidad de Live Composer. Esto hace posible que atacantes autenticados, con acceso de nivel de Autor y superior, inyecten un objeto PHP. No hay una cadena POP conocida presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que otro plugin o tema que contenga una cadena POP esté instalado en el sitio. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código dependiendo de la cadena POP presente. Nota: Esta vulnerabilidad requiere que el plugin Live Composer también esté instalado y activo.