CVE-2024-5932 · Unauth RCE · deserialization
GiveWP compromise cleanup.
Una inyección de objeto PHP no autenticada en GiveWP permitía a los atacantes ejecutar código en el servidor. PoC público, escaneo masivo, explotación a gran escala desde agosto de 2024. Si tu sitio corrió una versión afectada, hazle una revisión forense. Tarifa plana $279.
What the bug was
Entrada de usuario → unserialize() → RCE vía POP gadget.
El formulario de donaciones de GiveWP aceptaba un parámetro give_title que acababa en la función unserialize() de PHP. El código del plugin contenía una cadena de clases (un 'POP gadget chain') que, al dispararse mediante esa llamada a unserialize, producía ejecución de código arbitrario. Sin necesidad de autenticación.
Afectadas: versiones anteriores a 3.14.2. Divulgado el 7 de agosto de 2024 con PoC funcional. El parche era directo, pero el despliegue en las instalaciones fue desigual — muchos sitios quedaron expuestos durante días.
Indicators
Qué hacemos con ello
ACCESS LOG
POSTs a /?give_action=donation o admin-ajax.php con give_title conteniendo PHP serializado (empieza con O:, a:, s:). Sorprendentemente claros en los logs.
ARCHIVOS
PHP recién creado en wp-content/uploads/ o en cualquier lugar fuera de la carpeta del plugin GiveWP después de agosto de 2024.
USUARIOS
Cuentas de admin creadas desde la divulgación. A menudo el payload inmediato del RCE.
ACTIVE_PLUGINS
Fila active_plugins en wp_options que contiene plugins que tú no instalaste. Frecuentemente plugins tipo file-manager usados como web shell de segunda etapa.
Precios
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Iniciar limpiezaMonitoring
$29 / mo
per site, cancel any time
Monitorización continua, endurecimiento, una limpieza al año incluida.
ProtégetePart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Ver todos los servicios →Correo [email protected] or use the contact form.