近日,安全团队在WordPress GiveWP捐赠插件中发现了一个严重漏洞,该漏洞允许未经身份验证的攻击者完全控制受影响的网站。该漏洞的跟踪编号为CVE-2024-8353,最高严重性评分是10,该漏洞源于PHP对象注入漏洞,可导致远程代码执行。
CVE-2024-8353 是一个 PHP 对象注入漏洞,由于不当处理不受信任的输入而发生,特别是在反序列化多个参数(例如“give_title”和“card_address”)期间。此缺陷允许未经身份验证的攻击者将恶意 PHP 对象注入系统。额外存在的 POP(面向属性编程)链允许攻击者利用此漏洞删除任意文件并在目标网站上获得远程代码执行。
GiveWP 3.16.1 及以下的所有版本都容易受到攻击。拥有超过10万个活跃安装,这对大量依赖此插件进行筹款工作的 WordPress 网站来说意味着重大的安全风险。
目前插件官方已发布修复漏洞的版本,建议尽快将 GiveWP 更新到版本 3.16.2 或更高版本。