Vulnérabilité liée à la gestion inadéquate des données sérialisées dans l’extension GiveWP de WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2025/ALERTE/004

Date de l’alerte : 16/01/2025

APERÇU :

Une vulnérabilité liée à la gestion inadéquate des données sérialisées dans l’extension GiveWP de WordPress permettrait à un acteur malveillant d’effectuer des actions non autorisées sur les systèmes affectés. 

DESCRIPTION :

GiveWP est une extension de WordPress conçue pour faciliter la collecte de dons en ligne. Il joue un rôle clé en permettant la personnalisation des formulaires, la gestion des transactions et le suivi des dons. 

L’extension GiveWP  est affectée par une vulnérabilité libellée CVE-2025-22777 qui résulte   d’une gestion inadéquate des données sérialisées. La faille est présente lors de la désérialisation des données dans le traitement des requêtes, permettant une injection d’objets PHP malveillants. 

Cela pourrait permettre à un acteur malveillant non authentifié de transmettre des données spécialement conçues pour manipuler le comportement de l’application. L’exploitation de cette faille pourrait entraîner des actions non autorisées sur le système affecté telles que les vols de données sensibles, les modifications de données et une élévation de privilège. 

Cette vulnérabilité est classée critique avec un score de sévérité de 9.8 selon le CVSS v3.1. 

IMPACT :

  • Atteinte à l’intégrité du système ; 
  • Atteinte à la confidentialité des données ; 
  • Accès à des données sensibles.

SYSTÈMES AFFECTÉS : 

Toutes les versions de l’extension GiveWP versions antérieures ou égales à 3.19.3. 

MESURES À PRENDRE :

Mettre à jour l’extension GiveWP vers la dernière version disponible. 

RÉFÉRENCES :

Partagez sur vos réseaux.