Recopilación de vulnerabilidades WordPress.

GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos <= 3.16.1 – Inyección de Objetos PHP sin Autenticación

El plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.16.1 a través de la deserialización de entradas no confiables mediante varios parámetros como ‘give_title’ y ‘card_address’. Esto permite que atacantes no autenticados inyecten un Objeto PHP. La presencia adicional de una cadena POP permite a los atacantes eliminar archivos arbitrarios y lograr la ejecución de código remoto. Esta es esencialmente la misma vulnerabilidad que CVE-2024-5932, sin embargo, se descubrió que la presencia de stripslashes_deep en user_info permite eludir la comprobación de is_serialized. Este problema fue en su mayoría parcheado en la versión 3.16.1, pero se agregaron medidas de seguridad adicionales en la versión 3.16.2.

Es fundamental que los usuarios actualicen su plugin GiveWP a la última versión disponible, en este caso, a la versión 3.16.2 o posterior. Además, se recomienda a los usuarios configurar correctamente los permisos de archivo en su instalación de WordPress para limitar el impacto de posibles ataques. Otra medida importante es la de mantener siempre copias de seguridad actualizadas de su sitio web para poder restaurar la información en caso de una intrusión exitosa.
La seguridad en WordPress es primordial, por lo que es vital estar al tanto de las vulnerabilidades existentes en plugins populares como GiveWP y tomar medidas proactivas para protegerse. La prevención y la rápida respuesta ante posibles amenazas son clave para mantener la integridad de su sitio web.

Related Article