CVE-2024-5932

GiveWP versões 3.14.1 e anteriores

O plugin GiveWP para WordPress está vulnerável à injeção de objeto PHP por meio da desserialização de entradas não confiáveis do parâmetro give title. Essa vulnerabilidade permite que invasores não autenticados injetem um objeto PHP, e a presença de uma cadeia POP permite que eles executem código remotamente e excluam arquivos arbitrários. O problema afeta mais de 100.000 sites WordPress, e o número estimado de dispositivos potencialmente afetados em todo o mundo não é explicitamente declarado, mas é mencionado que mais de 173 mil serviços são encontrados em um site específico quase todos os anos. Há relatos de incidentes reais em que essa vulnerabilidade foi explorada, mas detalhes específicos não são fornecidos.

Para resolver o problema nas versões 3.14.1 e anteriores do GiveWP, atualize para a versão 3.14.2 ou posterior. Como solução temporária, considere desativar o parâmetro give title no endpoint da API afetado até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o parâmetro give title no endpoint da API afetado até que o problema seja resolvido.