CVE-2024-8353 in GiveWP Plugininformazioni

Riassunto

di VulDB • 17/06/2026

Il plugin GiveWP – Donation Plugin and Fundraising Platform per WordPress è vulnerabile a PHP Object Injection in tutte le versioni fino alla 3.16.1 inclusa, tramite la deserializzazione di input non attendibile attraverso diversi parametri come 'give_title' e 'card_address'. Ciò consente agli attaccanti non autenticati di iniettare un oggetto PHP. La presenza aggiuntiva di una catena POP (Property-Oriented Programming) permette agli attaccanti di eliminare file arbitrari ed eseguire codice remoto (RCE). Questa vulnerabilità è essenzialmente la stessa di CVE-2024-5932; tuttavia, si è scoperto che la presenza della funzione stripslashes_deep su user_info consente di aggirare il controllo is_serialized. Questo problema è stato in gran parte risolto nella versione 3.16.1, ma ulteriori misure di hardening sono state aggiunte nella versione 3.16.2.

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

30/08/2024

Divulgazione

28/09/2024

Moderazione

accettato

CPE

pronto

EPSS

0.28931

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!