Una grave vulnerabilità di sicurezza (CVE-2024-5932, CVSS 10.0) è stata individuata nel plugin WordPress GiveWP, che fornisce funzionalità di donazione e raccolta fondi su oltre 100.000 siti web. Questo difetto consente l’esecuzione remota di codice (RCE) da parte di utenti non autenticati, potenzialmente offrendo agli aggressori il pieno controllo dei siti coinvolti.
| Prodotto | give |
| Data | 2024-08-26 07:22:42 |
Riassunto tecnico
Il plugin GiveWP – Donation Plugin and Fundraising Platform per WordPress risulta vulnerabile a una Iniezione di Oggetti PHP in tutte le versioni fino alla 3.14.1 inclusa, tramite la deserializzazione di input non attendibile ricevuto dal parametro give_title. Questo permette ad aggressori non autenticati di iniettare un oggetto PHP. La presenza aggiuntiva di una catena POP consente agli aggressori sia di eseguire codice da remoto sia di eliminare file arbitrari.
Raccomandazioni
Aggiornare alle versioni più recenti disponibili.