Uma vulnerabilidade crítica foi descoberta no plugin s2Member Pro para WordPress, afetando todas as versões até a 241216. Identificada como CVE-2024-12562, essa falha permite a Injeção de Objeto PHP não autenticada através da desserialização de dados não confiáveis no parâmetro s2member_pro_remote_op. Com uma pontuação CVSS de 9.8 (Crítica), essa vulnerabilidade pode permitir que atacantes remotos injetem objetos PHP maliciosos.
Impacto Potencial:
- Exclusão de arquivos arbitrários
- Exfiltração de dados sensíveis
- Execução de código remoto (se uma cadeia POP estiver presente via plugins ou temas adicionais)
Apesar de não haver uma cadeia POP conhecida no software vulnerável, a instalação de plugins ou temas específicos pode criar condições para exploração. Recomenda-se atualizar imediatamente o plugin para uma versão corrigida, caso disponível, ou desativá-lo até que uma correção seja lançada.
Detalhes Técnicos:
- CVSS Vector: CVSS:3.1/AV:N /AC:L /PR:N /UI:N /S:U /C:H /I:H /A:H
- Publicação: 14 de fevereiro de 2025
- Última Atualização: 15 de fevereiro de 2025
- Pesquisador: István Márton – Wordfence
Recomendações:
- Verifique se você está utilizando uma versão vulnerável do s2Member Pro.
- Atualize o plugin para a versão mais recente ou remova-o temporariamente.
- Monitore logs de acesso para atividades suspeitas.
- Considere a implementação de um Web Application Firewall (WAF) para mitigar riscos.
