GiveWP, um popular plugin de doação para WordPress, corrigiu uma vulnerabilidade não autenticada de PHP Object Injection to Remote Code Execution que poderia ser explorada para executar código arbitrário remotamente e excluir arquivos. Este plugin da família de produtos Liquid Web tem mais de 100 mil instalações ativas.
villu164 (Villu Orav) relatou a vulnerabilidade por meio do Wordfence Bug Bounty Program e arrecadou uma recompensa de $ 4.998,00. Os pesquisadores classificaram como uma preocupação “crítica”, com uma pontuação CVSS de 10,0 , e recomendam fortemente a atualização para a versão mais recente.
O Wordfence compartilhou que o plugin GiveWP é “vulnerável à injeção de objeto PHP em todas as versões até, e incluindo, 3.14.1 por meio da desserialização de entrada não confiável do parâmetro ‘give_title’. Isso torna possível que invasores não autenticados injetem um objeto PHP. A presença adicional de uma cadeia POP permite que invasores executem código remotamente e excluam arquivos arbitrários.”
A postagem do pesquisador de vulnerabilidades István Márton tem mais detalhes técnicos sobre a vulnerabilidade do GiveWP. O Wordfence contatou o StellarWP e, mais tarde, a Equipe de Segurança do WordPress.org e, finalmente, um patch foi lançado na versão 3.14.2 do plugin GiveWP em 7 de agosto de 2024.
A Wordfence lançou o Programa Bug Bounty em novembro de 2023 para recompensar pesquisadores que encontrarem vulnerabilidades e as divulgarem de forma privada.