WordPress, una de las plataformas de gestión de contenido más populares del mundo, es utilizada por millones de sitios web para ofrecer funcionalidad extendida a través de plugins. Sin embargo, estos plugins pueden ser objetivos de vulnerabilidades que comprometen la seguridad de los sitios y sus usuarios.El plugin GiveWP – Donation Plugin and Fundraising Platform, ampliamente utilizado en sitios WordPress para la gestión de donaciones y campañas de recaudación de fondos, presenta una vulnerabilidad crítica que puede comprometer la seguridad de los sistemas que lo utilizan.
- CVE-2024-12877 (CVSS: 9.8 CRÍTICO)
El plugin GiveWP – Donation Plugin and Fundraising Platform, es vulnerable a una inyección de objetos PHP no autenticada. Esta vulnerabilidad ocurre debido a la deserialización de datos no confiables provenientes de formularios de donación, como el campo firstName. Esto permite que atacantes no autenticados inyecten objetos PHP, y con la presencia de una cadena POP adicional, puedan eliminar archivos arbitrarios en el servidor, lo que potencialmente permite la ejecución remota de código.
Productos y versiones afectadas:
- GiveWP – Donation Plugin and Fundraising Platform todas las versiones hasta la 3.19.2 inclusive.
Solución:
- Actualizar el plugin a la versión 3.19.4 o posterior.
Recomendaciones:
- Actualizar el plugin a la última versión disponible de manera inmediata.
- Configurar controles adicionales para validar la entrada de datos en los formularios del sitio web.
- Realizar auditorías periódicas de seguridad en los plugins instalados en WordPress.
Referencias: