Une faille de sécurité critique (CVE-2024-5932, CVSS 10.0) a été identifiée dans l’extension WordPress GiveWP, qui fournit des fonctionnalités de don et de collecte de fonds sur plus de 100 000 sites web. Ce défaut permet l’exécution de code à distance (RCE) par des utilisateurs non authentifiés, offrant potentiellement aux attaquants un contrôle total sur les sites concernés.
| Produit | give |
| Date | 26/08/2024 07:22:42 |
Résumé technique
L’extension GiveWP – Donation Plugin and Fundraising Platform pour WordPress est vulnérable à une injection d’objets PHP dans toutes les versions jusqu’à la 3.14.1 incluse, via la désérialisation d’entrées non fiables reçues par le paramètre give_title. Cela permet à des attaquants non authentifiés d’injecter un objet PHP. La présence supplémentaire d’une chaîne POP permet aux attaquants à la fois d’exécuter du code à distance et de supprimer des fichiers arbitraires.
Recommandations
Mettez à jour vers les versions les plus récentes disponibles.
[Callforaction-THREAT-Footer]
Leave a Reply