Was ist CVE-2024-5932?

Eine unauthentifizierte PHP-Objekt-Injektion im GiveWP-Spenden-Plugin. Das Spendenformular akzeptierte einen give_title-Parameter, der in einen unserialize()-Aufruf floss. In Kombination mit verfügbaren POP-Gadgets in der Plugin-Codebasis ergab das Code-Ausführung für Angreifer. Offengelegt am 7. August 2024. Gepatcht in 3.14.2.

Wurde die Lücke tatsächlich ausgenutzt?

Ja. Öffentlicher Proof-of-Concept-Code erschien innerhalb von Tagen. Massen-Scans folgten. Seiten, die nicht zeitnah patchten, wurden in großem Stil kompromittiert; GiveWP hat deutlich über 100.000 aktive Installationen.

I don't run a donation form. Was I exposed?

Der verwundbare Endpoint war erreichbar, solange GiveWP aktiv war — unabhängig davon, ob du ein öffentliches Spendenformular sichtbar hattest. Inaktive (deaktivierte) GiveWP-Installationen waren nicht ausnutzbar.

Was haben die Angreifer üblicherweise nach der RCE getan?

Eine PHP-Web-Shell ablegen, einen Administrator-Account anlegen, ein schädliches Plugin installieren oder eine Core-/Theme-Datei für Persistenz modifizieren. Das gleiche Playbook wie bei den meisten unauthentifizierten WordPress-RCEs.

// CVE-2024-5932 · UNAUTH RCE · DESERIALISIERUNG

GiveWP compromise cleanup.

Eine unauthentifizierte PHP-Objekt-Injektion in GiveWP ließ Angreifer Code auf dem Server ausführen. Öffentlicher PoC, Massen-Scans, ab August 2024 in großem Stil ausgenutzt. Wenn deine Seite eine betroffene Version hatte, hol dir einen forensischen Blick. Pauschal $279.

Bereinigung starten → Über den Bug

§ 01 — WAS DER BUG WAR

Nutzereingabe → unserialize() → RCE via POP-Gadget.

Das Spenden-Formular von GiveWP akzeptierte einen give_title-Parameter, der in PHPs unserialize() landete. Die Codebasis des Plugins enthielt eine Kette von Klassen (eine 'POP-Gadget-Chain'), die über diesen unserialize-Aufruf zu beliebiger Code-Ausführung führte. Keine Authentifizierung erforderlich.

Betroffen: Versionen vor 3.14.2. Offengelegt am 7. August 2024 mit funktionierendem PoC. Der Patch war geradlinig, der Roll-Out aber uneinheitlich — viele Seiten blieben tagelang exponiert.

§ 02 — INDIKATOREN

Was wir damit tun

[ ZUGRIFFSLOG ]
POSTs an /?give_action=donation oder admin-ajax.php mit give_title, der serialisiertes PHP enthält (beginnt mit O:, a:, s:). Erstaunlich klar in den Logs.
[ DATEIEN ]
Frisches PHP in wp-content/uploads/ oder an beliebigen Stellen außerhalb des GiveWP-Plugin-Ordners nach August 2024.
[ NUTZER ]
Admin-Konten, die seit der Offenlegung angelegt wurden. Oft die unmittelbare Payload der RCE.
[ ACTIVE_PLUGINS ]
wp_options-Zeile active_plugins enthält Plugins, die du nicht installiert hast. Häufig Datei-Manager-artige Plugins, die als Second-Stage-Web-Shell genutzt werden.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →