threatover Patrik Grobshäuser

CVE-2024-5932 · Unauth RCE · deserialization

GiveWP compromise cleanup.

Una inyección de objeto PHP no autenticada en GiveWP permitía a los atacantes ejecutar código en el servidor. PoC público, escaneo masivo, explotación a gran escala desde agosto de 2024. Si tu sitio corrió una versión afectada, hazle una revisión forense. Tarifa plana $279.

What the bug was

Entrada de usuario → unserialize() → RCE vía POP gadget.

El formulario de donaciones de GiveWP aceptaba un parámetro give_title que acababa en la función unserialize() de PHP. El código del plugin contenía una cadena de clases (un 'POP gadget chain') que, al dispararse mediante esa llamada a unserialize, producía ejecución de código arbitrario. Sin necesidad de autenticación.

Afectadas: versiones anteriores a 3.14.2. Divulgado el 7 de agosto de 2024 con PoC funcional. El parche era directo, pero el despliegue en las instalaciones fue desigual — muchos sitios quedaron expuestos durante días.

Indicators

Qué hacemos con ello

  • ACCESS LOG

    POSTs a /?give_action=donation o admin-ajax.php con give_title conteniendo PHP serializado (empieza con O:, a:, s:). Sorprendentemente claros en los logs.

  • ARCHIVOS

    PHP recién creado en wp-content/uploads/ o en cualquier lugar fuera de la carpeta del plugin GiveWP después de agosto de 2024.

  • USUARIOS

    Cuentas de admin creadas desde la divulgación. A menudo el payload inmediato del RCE.

  • ACTIVE_PLUGINS

    Fila active_plugins en wp_options que contiene plugins que tú no instalaste. Frecuentemente plugins tipo file-manager usados como web shell de segunda etapa.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.