Плагин divi-booster WordPress до версии 5.0.2 не имеет авторизации, и CSRF проверяет одну из своих функций исправления, позволяя неаутентифицированным пользователям изменять сохраненные параметры плагина WordPress divi-booster до версии 5.0.2. Кроме того, из-за использования unserialize() для данных это может быть дополнительно использовано в сочетании с цепочкой гаджетов PHP для достижения внедрения PHP-объектов.
Показать оригинальное описание (EN)
The divi-booster WordPress plugin before 5.0.2 does not have authorization and CSRF checks in one of its fixing function, allowing unauthenticated users to modify stored divi-booster WordPress plugin before 5.0.2 options. Furthermore, due to the use of unserialize() on the data, this could be further exploited when combined with a PHP gadget chain to achieve PHP Object Injection