Eine schwerwiegende Sicherheitslücke (CVE-2024-5932, CVSS 10.0) wurde im WordPress-Plugin GiveWP entdeckt, das Spenden- und Fundraising-Funktionen auf über 100.000 Websites bereitstellt. Dieser Fehler ermöglicht die Remote Code Execution (RCE) durch nicht authentifizierte Benutzer, was Angreifern potenziell die vollständige Kontrolle über die betroffenen Websites verschafft.
| Produkt | give |
| Datum | 26.08.2024 07:22:42 |
Technische Zusammenfassung
Das Plugin „GiveWP – Donation Plugin and Fundraising Platform“ für WordPress ist in allen Versionen bis einschließlich 3.14.1 anfällig für eine PHP-Objekt-Injektion, die durch die Deserialisierung von nicht vertrauenswürdigen Eingaben über den Parameter give_title erfolgt. Dies ermöglicht es nicht authentifizierten Angreifern, ein PHP-Objekt zu injizieren. Das zusätzliche Vorhandensein einer POP-Kette erlaubt es Angreifern, sowohl Remote-Code auszuführen als auch beliebige Dateien zu löschen.
Empfehlungen
Aktualisieren Sie auf die neuesten verfügbaren Versionen.
[Callforaction-THREAT-Footer]
Leave a Reply