CVE-2024-12877

Nome do Software Vulnerável e Versões Afetadas GiveWP – Plugin de Doação e Plataforma de Arrecadação de Fundos versões até a 3.19.2

Descrição A vulnerabilidade permite que atacantes não autenticados injetem um Objeto PHP por meio da desserialização de entrada não confiável proveniente do formulário de doação, como o campo firstName. A presença de uma cadeia POP permite que atacantes excluam arquivos arbitrários no servidor, tornando possível a execução remota de código. Uma correção totalmente adequada não foi lançada até a versão 3.19.4.

Recomendações Para versões até a 3.19.2, atualize para a versão 3.19.4 para resolver o problema. Como solução alternativa temporária, considere usar codificação JSON para prevenir novas vulnerabilidades de desserialização. Restrinja o acesso ao formulário de doação vulnerável para minimizar o risco de exploração. Evite usar o campo firstName no formulário afetado até que o problema seja resolvido.