Origine : bjCSIRT

Numéro : 2024/ALERTE/053

Date de l’alerte : 21/08/2024

APERÇU :

Une vulnérabilité critique de type Remote code Execution (RCE) a été identifié dans le plugin GiveWP qui permettrait à un acteur malveillant d’exécuter du code arbitraire à distance.

DESCRIPTION :

GiveWP est un plugin WordPress utilisé pour des plateformes de dons et de collectes de fonds qui permet de créer des formulaires de dons personnalisés et de gérer efficacement les collectes de fonds en ligne. Il offre des fonctionnalités avancées comme les dons récurrents et le suivi des campagnes, adaptées aux organisations à but non lucratif et aux projets personnels. 

Ce plugin est affecté par la vulnérabilité libellée CVE-2024-5932. Elle permettrait à un acteur malveillant non authentifié d’envoyer une requête HTTP avec le paramètre « give_title » et d’y injecter des objets PHP spécialement conçus. L’exploitation de cette vulnérabilité permettrait d’exécuter des commandes systèmes à distance avec des privilèges élevés. 

Cette vulnérabilité est classée critique avec un score de sévérité de 10 selon le CVSSV3.

IMPACT :

• Exécution de code arbitraire à distance ; 
• Compromission de l’intégrité du système ;
• Atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS : 

• La version 3.14.1 de GiveWP et toutes les versions antérieures

MESURES À PRENDRE : 

• Mettre à jour le plugin GiveWP vers la version 3.14.2 ou ultérieure

RÉFÉRENCES :

• https://feedly.com/cve/CVE-2024-5932
• https://www.cve.org/CVERecord?id=CVE-2024-5932 
• https://cybersecuritynews.com/wordpress-plugin-rce-vulnerability/