Il plugin GiveWP, con oltre 100.000 installazioni attive, è una piattaforma di donazione e raccolta fondi ampiamente utilizzata nei siti WordPress. In tutte le versioni fino alla 3.16.3 inclusa, è presente una vulnerabilità critica di PHP Object Injection (CVE-2024-9634) che consente agli aggressori di iniettare oggetti malevoli tramite il parametro give_company_name. Se sfruttata insieme a una catena POP (Property-Oriented Programming), questa vulnerabilità può portare all’esecuzione di codice da remoto (RCE). Considerata la popolarità del plugin e il suo utilizzo per gestire transazioni finanziarie sensibili, come le donazioni, il rischio di sfruttamento è considerevole. Uno sfruttamento non autorizzato potrebbe compromettere i dati dei donatori, alterare il comportamento del sito o persino garantire l’accesso amministrativo agli aggressori. A causa della natura non autenticata dell’exploit, tutti i siti che utilizzano versioni vulnerabili sono a rischio immediato.
| Prodotto | WordPress |
| Data | 2024-10-21 16:46:28 |
| Informazioni | Trending, Fix Available |
Riassunto tecnico
CVE-2024-9634 è una vulnerabilità critica che interessa il plugin GiveWP per WordPress. Si verifica a causa della deserializzazione non sicura dell’input utente, che consente agli aggressori di iniettare oggetti PHP attraverso il parametro give_company_name. La presenza di una catena POP può intensificare l’attacco fino all’esecuzione di codice da remoto, permettendo all’attaccante di eseguire codice arbitrario sul sistema compromesso. La vulnerabilità interessa tutte le versioni fino alla 3.16.3 inclusa. Questo rende il problema particolarmente pericoloso, dato che il plugin è non solo ampiamente utilizzato ma anche spesso coinvolto in operazioni finanziarie in cui fiducia e sicurezza sono fondamentali.
Raccomandazioni
Aggiornare il plugin GiveWP a una versione più recente della 3.16.3, in cui questa vulnerabilità è stata corretta.