Uma grave vulnerabilidade foi descoberta no plugin UpdraftPlus Backup & Migration, amplamente utilizado em mais de 3 milhões de sites WordPress no mundo todo, gerando sérias preocupações de segurança. Identificada como CVE-2024-10957, a falha apresenta uma pontuação de 8.8 na escala CVSS, classificando-a como de alta gravidade. A vulnerabilidade permite que atacantes não autenticados explorem injeções de objetos PHP em determinadas condições.

O problema está relacionado à função recursive_unserialized_replace, que não trata adequadamente a desserialização de entradas não confiáveis. Embora o plugin não tenha uma cadeia de ataque POP conhecida internamente, essa falha pode ser explorada em conjunto com outros plugins ou temas vulneráveis no mesmo site WordPress. Isso abre caminho para ações como exclusão de arquivos arbitrários, acesso a dados confidenciais e execução de códigos maliciosos.

Para que a exploração ocorra, é necessário que um administrador execute uma operação de busca e substituição no plugin, ativando o payload malicioso injetado pelos atacantes. A vulnerabilidade foi descoberta e divulgada de forma responsável pelo pesquisador de segurança conhecido como Webbernaut. A equipe do UpdraftPlus já lançou uma correção na versão 1.24.12, e é fundamental que todos os usuários atualizem o plugin imediatamente. Devido à ampla adoção do UpdraftPlus, a aplicação rápida desse patch é crucial para prevenir possíveis ataques e proteger informações sensíveis.