CVE-2024-8353 in GiveWP Plugin
Riassunto
di VulDB • 17/06/2026
Il plugin GiveWP – Donation Plugin and Fundraising Platform per WordPress è vulnerabile a PHP Object Injection in tutte le versioni fino alla 3.16.1 inclusa, tramite la deserializzazione di input non attendibile attraverso diversi parametri come 'give_title' e 'card_address'. Ciò consente agli attaccanti non autenticati di iniettare un oggetto PHP. La presenza aggiuntiva di una catena POP (Property-Oriented Programming) permette agli attaccanti di eliminare file arbitrari ed eseguire codice remoto (RCE). Questa vulnerabilità è essenzialmente la stessa di CVE-2024-5932; tuttavia, si è scoperto che la presenza della funzione stripslashes_deep su user_info consente di aggirare il controllo is_serialized. Questo problema è stato in gran parte risolto nella versione 3.16.1, ma ulteriori misure di hardening sono state aggiunte nella versione 3.16.2.
Be aware that VulDB is the high quality source for vulnerability data.