The User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration plugin for WordPress is vulnerable to Deserialization of Untrusted Data in versions up to, and including, 4.3.1 This is due to insufficient input validation and type checking on the wpuf_files parameter during form submission, combined with unconditional deserialization via maybe_unserialize() when displaying post content. This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary PHP objects, which can be leveraged to execute arbitrary code, delete arbitrary files, or perform other malicious actions if a POP chain is present on the target system.
The WPUF plugin for WordPress contains a deserialization vulnerability allowing authenticated attackers with Subscriber access to execute arbitrary code through malicious PHP object injection. The vulnerability exists in the wpuf_files parameter handling during form submission and post content display.
تحتوي إضافة WPUF على ثغرة في معالجة البيانات المسلسلة تسمح بحقن كائنات PHP تعسفية من خلال معامل wpuf_files. يمكن للمهاجمين المصرح لهم بمستوى المشترك أو أعلى استغلال هذه الثغرة لتنفيذ أكواد تعسفية أو حذف ملفات أو تنفيذ إجراءات ضارة أخرى.
ثغرة في معالجة البيانات المسلسلة في إضافة WPUF تسمح للمهاجمين المصرح لهم بتنفيذ أكواد تعسفية عبر حقن كائنات PHP ضارة. تؤثر الثغرة على معاملات wpuf_files أثناء إرسال النماذج وعرض محتوى المنشورات.
Update the WPUF plugin to version 4.3.2 or later immediately. Implement strict input validation and type checking on the wpuf_files parameter. Disable PHP object deserialization where possible and use safe serialization methods. Restrict Subscriber-level permissions and monitor for suspicious form submissions.
قم بتحديث إضافة WPUF إلى الإصدار 4.3.2 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والتحقق من الأنواع على معامل wpuf_files. عطل فك تسلسل كائنات PHP حيث أمكن واستخدم طرق تسلسل آمنة. قيد صلاحيات مستوى المشترك ومراقبة الإرسالات المريبة.