WordPress插件GiveWP漏洞CVE-2024-8353预警

WordPress作为全球最流行的内容管理系统（CMS），以其强大的功能、灵活的定制性等特性已成为全球建站者的首选。

根据国外知名网站 BuiltWith 最新统计数据，截至2024年1月14日，全球有超过46%的网站使用 WordPress，且还在增长。

更多的企业用户对 WordPress 商业版和社区版感到满意，美国国家航空航天局官网、白宫官网等都基于WordPress构建。

一、基本情况

WordPress插件是为WordPress添加各种功能的扩展组件，目前官网已收录数量超一万多，未被收录的预估量已超十万。

GiveWP插件是一个为WordPress建站用户提供的捐赠软件，其功能简单易用且完全可自定义，因此受到广大用户的追捧。

GiveWP插件基础功能免费，但其提供许多高级功能来满足用户需求，如自定义捐赠表格、齐全的报告及捐赠者管理功能。

GiveWP 插件被发现存在严重安全漏洞，可能允许未经身份证验证的攻击者完全控制网站，漏洞标记为 CVE-2024-8353。

二、漏洞分析

GiveWP插件在版本3.16.1及之前所有版本都易受到PHP对象注入的攻击，该漏洞被标记为CVE-2024-8353，CVSS评分10。

该安全漏洞由于不当处理不受信任的输入而发生，特别是在反序列化多个参数（例如“give_title”和“card_address”）期间。

简而言之，该漏洞是一个PHP对象注入漏洞，使用“give_title”和“card_address”等多个参数对不受信任输入进行反序列化。

该漏洞允许未经身份验证的攻击者将恶意 PHP 对象注入系统，从而可能会允许未经身份验证的攻击者完全控制目标网站。

额外存在的 POP（面向属性编程）链允许攻击者利用此漏洞删除任意文件并在目标网站上获得远程代码执行，危害严重。

此漏洞与CVE-2024-5932本质相同，但关键的区别是CVE-2024-8353使用on绕过检查，使攻击者能够利用反序列化过程。

简而言之就是user_info上存在stripslashes_deep允许绕过is_serialized检查，目前相关开发者发布新版插件对其进行修复。

该插件目前拥有超过100,000个活跃安装，对大量依赖此插件进行筹款工作的WordPress网站来说意味着重大的安全风险。

插件开发者在版本 3.16.1 中对该漏洞进行了部分修复，但仍需要进一步强化才能完全缓解漏洞则需要更新至版本 3.16.2。

三、影响范围

GiveWP 版本 <= 3.16.1

四、修复建议

使用 GiveWP 3.16.1 及以下的所有版本都容易受到攻击，建议尽快将 GiveWP 更新到版本 3.16.2 或更高版本。

五、参考链接

https://github.com/EQSTLab/CVE-2024-8353

https://nvd.nist.gov/vuln/detail/CVE-2024-8353