ADVERTENCIA: UNA VULNERABILIDAD CRÍTICA EN EL PLUGIN GIVEWP PARA WORDPRESS PUEDE PROVOCAR LA EJECUCIÓN REMOTA DE CÓDIGO Y LA ELIMINACIÓN ARBITRARIA DE ARCHIVOS. ¡APLICA EL PARCHE INMEDIATAMENTE!
agosto 22, 2024
CVE-2024-5932 es una vulnerabilidad de deserialización de datos no confiables. La vulnerabilidad tiene su raíz en una función llamada «give_process_donation_form()», que se utiliza para validar y sanear los datos del formulario ingresados antes de pasar la información de la donación, incluidos los detalles del pago, a la pasarela especificada.
Una falla en el complemento lo hace vulnerable a la inyección de objetos PHP, lo que permite a atacantes no autenticados inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar código de forma remota y eliminar archivos arbitrarios.