Maximális súlyosságú biztonsági hiba került nyilvánosságra a WordPress GiveWP adománygyűjtési pluginjában, amely által több mint 100 000 weboldal van kitéve RCE (távoli kódfuttatási) támadásoknak.
A CVE-2024-5932 (CVSS érték: 10.0) néven nyomon követhető hiba érinti a bővítmény összes 3.14.2 előtti verzióját.
A bővítmény „sebezhető a PHP Object Injectionnel szemben a 3.14.1-es verzióig bezárólag minden verzióban a „give_title” paraméter nem megbízható bemenetének deserializációja révén” – írta a Wordfence a jelentésében.
A sebezhetőség a „give_process_donation_form()” nevű függvényben gyökerezik, amely a beírt űrlapadatok érvényesítésére és szanálására szolgál, mielőtt az adományozási információk (beleértve a fizetési adatok is) továbbításra kerülnek.
A hiba sikeres kihasználása lehetővé teheti egy fenyegető szereplő számára, hogy a hitelesítést megkerülve rosszindulatú kódot hajtson végre a kiszolgálón, ezért szükségszerű a legújabb verzióra történő mielőbbi frissítés.
