threatover Patrik Grobshäuser

CVE-2024-5932 · Unauth RCE · deserialization

GiveWP compromise cleanup.

Eine unauthentifizierte PHP-Objekt-Injektion in GiveWP ließ Angreifer Code auf dem Server ausführen. Öffentlicher PoC, Massen-Scans, ab August 2024 in großem Stil ausgenutzt. Wenn deine Seite eine betroffene Version hatte, hol dir einen forensischen Blick. Pauschal $279.

What the bug was

Nutzereingabe → unserialize() → RCE via POP-Gadget.

Das Spenden-Formular von GiveWP akzeptierte einen give_title-Parameter, der in PHPs unserialize() landete. Die Codebasis des Plugins enthielt eine Kette von Klassen (eine 'POP-Gadget-Chain'), die über diesen unserialize-Aufruf zu beliebiger Code-Ausführung führte. Keine Authentifizierung erforderlich.

Betroffen: Versionen vor 3.14.2. Offengelegt am 7. August 2024 mit funktionierendem PoC. Der Patch war geradlinig, der Roll-Out aber uneinheitlich — viele Seiten blieben tagelang exponiert.

Indicators

Was wir damit tun

  • ZUGRIFFSLOG

    POSTs an /?give_action=donation oder admin-ajax.php mit give_title, der serialisiertes PHP enthält (beginnt mit O:, a:, s:). Erstaunlich klar in den Logs.

  • DATEIEN

    Frisches PHP in wp-content/uploads/ oder an beliebigen Stellen außerhalb des GiveWP-Plugin-Ordners nach August 2024.

  • NUTZER

    Admin-Konten, die seit der Offenlegung angelegt wurden. Oft die unmittelbare Payload der RCE.

  • ACTIVE_PLUGINS

    wp_options-Zeile active_plugins enthält Plugins, die du nicht installiert hast. Häufig Datei-Manager-artige Plugins, die als Second-Stage-Web-Shell genutzt werden.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.