A GiveWP WordPress Pluginnal kapcsolatos, azaz a CVE-2024-5932 (CVSS érték: 10.0) néven nyomon követhető hiba érinti a bővítmény összes 3.14.2 előtti verzióját.
A bővítmény „sebezhető a PHP Object Injectionnel szemben a 3.14.1-es verzióig bezárólag minden verzióban a „give_title” paraméter nem megbízható bemenetének deserializációja révén”
– írta a Wordfence a jelentésében.
A sebezhetőség a „give_process_donation_form()” nevű függvényben gyökerezik, amely a beírt űrlapadatok érvényesítésére és szanálására szolgál. Mielőtt az adományozási információk (beleértve a fizetési adatok is) továbbításra kerülnek.
A hiba sikeres kihasználása lehetővé teheti egy fenyegető szereplő számára, hogy a hitelesítést megkerülve rosszindulatú kódot hajtson végre a kiszolgálón. Ezért szükségszerű a legújabb verzióra történő mielőbbi frissítés.
(Forrás: NKI | Kép: needpix)