Le plugin GiveWP, avec plus de 100 000 installations actives, est une plateforme de don et de collecte de fonds largement utilisée sur les sites WordPress. Dans toutes les versions jusqu’à la 3.16.3 incluse, il existe une vulnérabilité critique d’injection d’objet PHP (CVE-2024-9634) qui permet aux attaquants d’injecter des objets malveillants via le paramètre give_company_name. Si elle est exploitée conjointement avec une chaîne POP (Property-Oriented Programming), cette vulnérabilité peut conduire à une exécution de code à distance (RCE). Compte tenu de la popularité du plugin et de son utilisation pour gérer des transactions financières sensibles, telles que les dons, le risque d’exploitation est considérable. Une exploitation non autorisée pourrait compromettre les données des donateurs, altérer le comportement du site ou même garantir un accès administratif aux attaquants. En raison de la nature non authentifiée de l’exploit, tous les sites utilisant des versions vulnérables sont en danger immédiat.
| Produit | WordPress |
| Date | 21/10/2024 16:46:28 |
| Informations |
|
Résumé technique
La CVE-2024-9634 est une vulnérabilité critique qui affecte le plugin GiveWP pour WordPress. Elle survient en raison d’une désérialisation non sécurisée des entrées utilisateur, ce qui permet aux attaquants d’injecter des objets PHP via le paramètre give_company_name. La présence d’une chaîne POP peut intensifier l’attaque jusqu’à l’exécution de code à distance, permettant à l’attaquant d’exécuter du code arbitraire sur le système compromis. La vulnérabilité affecte toutes les versions jusqu’à la 3.16.3 incluse. Cela rend le problème particulièrement dangereux, étant donné que le plugin est non seulement largement utilisé, mais aussi souvent impliqué dans des opérations financières où la confiance et la sécurité sont fondamentales.
Recommandations
Mettez à jour le plugin GiveWP vers une version ultérieure à la 3.16.3, dans laquelle cette vulnérabilité a été corrigée.
[Callforaction-THREAT-Footer]
Leave a Reply