¿Qué es CVE-2024-5932?

Una inyección de objeto PHP no autenticada en el plugin de donaciones GiveWP. El formulario de donación aceptaba un parámetro give_title que acababa en una llamada a unserialize(). Combinado con POP gadgets disponibles en el código del plugin, esto daba a los atacantes ejecución de código. Divulgado el 7 de agosto de 2024. Parcheado en 3.14.2.

¿Se explotó realmente?

Sí. El código público de prueba de concepto apareció en pocos días. Le siguió un escaneo masivo. Los sitios que no parchearon a tiempo fueron comprometidos a gran escala; GiveWP tiene bastante más de 100.000 instalaciones activas.

I don't run a donation form. Was I exposed?

El endpoint vulnerable era accesible siempre que GiveWP estuviera activo, independientemente de si tenías un formulario de donación público visible. Las instalaciones inactivas (desactivadas) de GiveWP no eran explotables.

¿Qué solían hacer los atacantes tras el RCE?

Dejar un web shell PHP, crear una cuenta de administrador, instalar un plugin malicioso o modificar un archivo de core/tema para persistencia. El mismo manual que la mayoría de RCEs no autenticadas de WordPress.

// CVE-2024-5932 · RCE NO AUTENTICADO · DESERIALIZACIÓN

GiveWP compromise cleanup.

Una inyección de objeto PHP no autenticada en GiveWP permitía a los atacantes ejecutar código en el servidor. PoC público, escaneo masivo, explotación a gran escala desde agosto de 2024. Si tu sitio corrió una versión afectada, hazle una revisión forense. Tarifa plana $279.

Iniciar limpieza → Sobre el bug

§ 01 — EN QUÉ CONSISTÍA EL BUG

Entrada de usuario → unserialize() → RCE vía POP gadget.

El formulario de donaciones de GiveWP aceptaba un parámetro give_title que acababa en la función unserialize() de PHP. El código del plugin contenía una cadena de clases (un 'POP gadget chain') que, al dispararse mediante esa llamada a unserialize, producía ejecución de código arbitrario. Sin necesidad de autenticación.

Afectadas: versiones anteriores a 3.14.2. Divulgado el 7 de agosto de 2024 con PoC funcional. El parche era directo, pero el despliegue en las instalaciones fue desigual — muchos sitios quedaron expuestos durante días.

§ 02 — INDICADORES

Qué hacemos con ello

[ ACCESS LOG ]
POSTs a /?give_action=donation o admin-ajax.php con give_title conteniendo PHP serializado (empieza con O:, a:, s:). Sorprendentemente claros en los logs.
[ ARCHIVOS ]
PHP recién creado en wp-content/uploads/ o en cualquier lugar fuera de la carpeta del plugin GiveWP después de agosto de 2024.
[ USUARIOS ]
Cuentas de admin creadas desde la divulgación. A menudo el payload inmediato del RCE.
[ ACTIVE_PLUGINS ]
Fila active_plugins en wp_options que contiene plugins que tú no instalaste. Frecuentemente plugins tipo file-manager usados como web shell de segunda etapa.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →