WordPress插件GiveWP漏洞CVE-2024-9634预警

GiveWP是流行的WordPress插件之一，安装量超百万，该插件设置捐赠表格、查看捐赠/捐赠者的详细信息和生成报告等主要功能。

一、基本情况

GiveWP于2015年首次亮相，其0手续费特色，是当时与其他第三方资助工具的主要区别，使用该插件的网站可以收集100％的捐款。

它的创造者旨在授权事业和非营利创建自己的捐赠表格。他们开发了此插件，使其成为具有报告和捐赠者管理功能的完整捐赠平台。

Liquid Web于2021年05月收购这款GiveWP插件，插件背后的团队作为资产一部分加入Liquid Web，包括整个公司、产品和领导层。

栋科技漏洞库注意到GiveWP插件于2024年10月16日发布了一个修复版本v3.16.4，用于修复一个PHP对象注入漏洞CVE-2024-9634。

二、漏洞分析

CVE-2024-9634漏洞影响GiveWP插件v3.16.3以下的所有版本，其CVSS3.1评分为9.8，允许通过不可信的输入进行远程代码执行。

该漏洞允许攻击者注入恶意PHP对象，与原有POP链（代码中链接在一起实现代码执行的一系列工具）结合可能导致远程代码执行。

这一严重安全漏洞由网络安全研究人员lefab Private发现上报，通过反序列化不受信任的give_company_name parameter参数输入。

GiveWP开发者团队迅速回应报告，发布了GiveWP v3.16.4 修补版用于修复该漏洞，并强烈敦促所有相关用户立即更新到最新版本。

三、漏洞影响

GiveWP <= 3.16.3

四、修复建议

官方已发布GiveWP v3.16.4 版本用于修复漏洞，受影响用户建议立即升级