La vulnerabilidad de deserialización de datos no confiables en el plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress, en versiones hasta 3.16.3, permite la inyección de objetos PHP a través de la deserialización de la entrada no confiable del parámetro give_company_name. Esto posibilita que atacantes no autenticados puedan inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes lograr la ejecución de código remoto.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin GiveWP a la versión 3.16.4 o posterior, la cual contiene una corrección para este problema. Además, se recomienda a los usuarios mantener sus plugins actualizados regularmente y hacer seguimiento de las alertas de seguridad de sus plugins instalados.
Es crucial que los usuarios de GiveWP – Donation Plugin and Fundraising Platform actúen de inmediato para parchear esta vulnerabilidad y proteger sus sitios de posibles ataques de inyección de objetos PHP y ejecución remota de código.