Vulnerabilidad del Plugin de WordPress de GiveWP pone en riesgo a más de 100,000 sitios web

Se ha descubierto una vulnerabilidad crítica en el plugin de recaudación de fondos y donaciones de WordPress GiveWP. La falla, identificada como CVE-2024-5932 con una puntuación CVSS de 10.0, afecta a más de 100,000 sitios web. Es importante que los usuarios actualicen sus versiones a la última, la 3.14.2 lanzada el 7 de agosto de 2024. El problema fue reportado por el investigador de seguridad villu164.

La vulnerabilidad reside en la función «give_process_donation_form()» del plugin, permitiendo la inyección de objetos PHP y la ejecución remota de código. Atacantes no autenticados podrían aprovechar esto para correr código malicioso en el servidor. Se ha detectado otra vulnerabilidad crítica en los plugins de WordPress InPost PL e InPost para WooCommerce (CVE-2024-6500), así como en JS Help Desk (CVE-2024-7094). Ambas ya cuentan con parches disponibles.

Además, se han solucionado otras fallas en varios plugins de WordPress, incluyendo vulnerabilidades como la carga de archivos arbitrarios, lectura de archivos arbitrarios, escalada de privilegios, y más. Es esencial abordar estas vulnerabilidades para prevenir posibles ataques.

Sucuri, una empresa de seguridad web, también advirtió sobre el riesgo de instalación de complementos y temas nulled en WordPress, destacando la importancia de la seguridad para proteger los sitios web.

Vía The Hacker News