WordPress 捐赠插件严重安全漏洞曝光

关键要点

• 超过 100,000 个 WordPress 网站面临被劫持风险
• 漏洞编号：CVE-2024-5932，涉及 PHP 对象注入
• 威胁行为者可利用此漏洞进行远程代码执行和任意文件删除
• 必须及时更新 GiveWP 插件至 3.14.2 版本以修复该漏洞

据 报道，超过 100,000 个 网站可能因广泛使用的筹款和捐赠插件 GiveWP 中发现的严重 PHP 对象注入漏洞而遭到劫持。

这项漏洞被标记为 CVE-2024-5932，威胁行为者可以利用该漏洞实施 PHP对象注入，并随后进行面向属性编程的链式攻击，涉及对反序列化对象的操控，从而实现远程代码执行和任意文件删除。根据 Defiant的报告，删除某些文件可能会导致网站重置，从而连接到远程攻击者控制的数据库，进一步增加完整网站被接管的风险。研究人员提醒组织务必将其使用的 GiveWP插件版本（3.14.1 及之前版本）更新至 3.14.2 版本，以修复该漏洞。WordPress.org 也指出，该插件在过去七天内累计下载超过 60,000 次。

重要建议

提醒 ：维持安全插件更新是保护网站的重要措施，将帮助您避免潜在的安全风险和数据丢失。