El plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos para WordPress es vulnerable a la Inyección de Objetos PHP en todas las versiones hasta, e incluyendo, la 3.19.3 a través de la deserialización de entradas no confiables del formulario de donación a través del parámetro ‘company’. Esto permite que atacantes no autenticados inyecten un Objeto PHP. La presencia adicional de una cadena POP permite a los atacantes eliminar archivos arbitrarios en el servidor, lo que hace posible la ejecución remota de código. Tenga en cuenta que esto cubre un bypass a la solución para CVE-2024-12877.
La vulnerabilidad de Inyección de Objetos PHP no autenticada en el plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos constituye un grave riesgo para los sitios web que lo utilizan. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se ha corregido este problema de seguridad. Además, se aconseja a los administradores web mantenerse informados sobre posibles vulnerabilidades en plugins y temas de WordPress, así como implementar medidas de seguridad adicionales como firewalls y escaneos de malware regularmente.
Es fundamental que los propietarios de sitios web que utilizan el plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos tomen las medidas necesarias para proteger sus sitios de posibles ataques. La actualización a la última versión del plugin y la adopción de prácticas de seguridad recomendadas son pasos importantes para garantizar la integridad y la seguridad de su sitio web.