La vulnerabilidad de deserialización de datos no confiables en el plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos para WordPress lo hace susceptible a Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.19.2 a través de la deserialización de entradas no confiables del formulario de donación como ‘firstName’. Esto permite a atacantes no autenticados inyectar un Objeto PHP. La presencia adicional de una cadena POP permite a los atacantes eliminar archivos arbitrarios en el servidor, lo que hace posible la ejecución de código remoto. Tenga en cuenta que esto solo se parcheó parcialmente en la versión 3.19.3, un parche completamente suficiente no se lanzó hasta la versión 3.19.4. Sin embargo, se asignó otro CVE por otro CNA para la versión 3.19.3, por lo que dejaremos esto como afectando a la versión 3.19.2 y anteriores. Hemos recomendado al proveedor utilizar codificación JSON para prevenir cualquier otra vulnerabilidad de deserialización presente.
Los usuarios afectados por esta vulnerabilidad pueden tomar medidas para proteger sus sitios web. Se recomienda actualizar el plugin GiveWP a la última versión disponible, en este caso la 3.19.4, que contiene un parche completo para esta vulnerabilidad. Además, se debe monitorear de cerca cualquier actividad sospechosa en el sitio que pueda indicar un intento de explotación de esta vulnerabilidad. Los usuarios también pueden considerar restringir el acceso al formulario de donación solo a usuarios autenticados y de confianza para reducir el riesgo de ser atacados.
Es crucial que los usuarios de GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos actualicen a la última versión disponible y tomen medidas proactivas para proteger sus sitios web contra posibles explotaciones de esta vulnerabilidad de inyección de objetos PHP.