Origine : bjCSIRT
Numéro : 2025/ALERTE/019
Date de l’alerte : 05/03/2025
APERÇU :
Une vulnérabilité critique de type exécution de code à distance (RCE) identifiée dans l’extension GiveWP de WordPress permettrait à un acteur malveillant d’exécuter du code arbitraire à distance.
DESCRIPTION :
GiveWP est une extension de WordPress conçue pour faciliter la collecte de dons en ligne. Elle permet la personnalisation des formulaires, la gestion des transactions et le suivi des dons.
Cette extension est affectée par une vulnérabilité libellée CVE-2025-0912 qui permettrait à un acteur malveillant d’exécuter du code à distance en injectant un objet PHP dans le paramètre ‘card_address’. Cette vulnérabilité est due à une désérialisation d’entrée non sécurisée, où les données fournies par l’utilisateur ne sont pas correctement validées, ouvrant ainsi la porte à une attaque d’exécution de code arbitraire.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1.
IMPACT :
- Exécution de code arbitraire à distance ;
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
Toutes les versions de l’extension GiveWP antérieures à la version 3.19.4 incluse.
MESURES À PRENDRE :
Mettre à jour l’extension GiveWP vers la dernière version disponible.
RÉFÉRENCES :
