Se ha identificado una grave vulnerabilidad de seguridad (CVE-2024-5932, CVSS 10.0) en el plugin de WordPress GiveWP, que proporciona funcionalidades de donación y recaudación de fondos en más de 100.000 sitios web. Este defecto permite la ejecución remota de código (RCE) por parte de usuarios no autenticados, lo que potencialmente ofrece a los atacantes el control total de los sitios afectados.
| Producto | give |
| Fecha | 2024-08-26 07:22:42 |
Resumen técnico
El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress resulta vulnerable a una inyección de objetos PHP en todas las versiones hasta la 3.14.1 inclusive, mediante la deserialización de entrada no confiable recibida del parámetro give_title. Esto permite a atacantes no autenticados inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes tanto ejecutar código de forma remota como eliminar archivos arbitrarios.
Recomendaciones
Actualizar a las versiones más recientes disponibles.
[Callforaction-THREAT-Footer]