DJ-CERT - Centre gouvernementale de veille, d'alertes et de réponses aux attaques informatiques

BULLETIN D'ALERTES

Object	Vulnérabilité dans le plugin WordPress GiveWP
Réference	1217
Date de Publication	2024-08-21
Sévérité	Critique

IMPACT :

Exécution de code à distance
Suppression de fichier non autorisée

SYSTÉME AFFECTÉ :

GiveWP < 3.14.2

DÉSCRIPTION :

Une vulnérabilité critique a été découverte dans le plugin Wordpress GiveWp. Elle permet aux attaquants non authentifiés d'injecter un objet PHP. La présence supplémentaire d'une chaîne POP permet aux attaquants d'exécuter du code à distance et de supprimer des fichiers arbitraires.

SOLUTION :

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DOCUMENTATION :

Bulletin de sécurité

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/give/givewp-donation-plugin-and-fundraising-platform-3141-unauthenticated-php-object-injection-to-remote-code-execution

CVE-2024-5932

https://www.cve.org/CVERecord?id=CVE-2024-5932