Qu'est-ce que CVE-2024-5932 ?

Une injection d'objet PHP non authentifiée dans le plugin de dons GiveWP. Le formulaire de don acceptait un paramètre give_title qui était passé à un appel unserialize(). Combinée aux gadgets POP disponibles dans la base de code du plugin, cette faille donnait aux attaquants l'exécution de code. Divulguée le 7 août 2024. Corrigée en 3.14.2.

A-t-elle réellement été exploitée ?

Oui. Du code proof-of-concept public est apparu en quelques jours. Le scan de masse a suivi. Les sites qui n'ont pas patché rapidement ont été compromis à grande échelle ; GiveWP compte bien plus de 100 000 installations actives.

I don't run a donation form. Was I exposed?

L'endpoint vulnérable était joignable tant que GiveWP était actif, peu importe que vous ayez ou non un formulaire de don public visible. Les installations GiveWP inactives (désactivées) n'étaient pas exploitables.

Que faisaient généralement les attaquants après la RCE ?

Déposer un web shell PHP, créer un compte administrateur, installer un plugin malveillant ou modifier un fichier core/thème pour la persistance. Le même schéma que la plupart des RCE WordPress non authentifiées.

// CVE-2024-5932 · RCE NON AUTH · DÉSÉRIALISATION

GiveWP compromise cleanup.

Une object-injection PHP non authentifiée dans GiveWP a permis aux attaquants d'exécuter du code sur le serveur. PoC public, scan massif, exploité à grande échelle à partir d'août 2024. Si votre site exécutait une version affectée, obtenez un examen forensique. Forfait $279.

Démarrer un nettoyage → À propos du bug

§ 01 — EN QUOI CONSISTAIT LE BUG

Entrée utilisateur → unserialize() → RCE via POP gadget.

Le formulaire de don de GiveWP acceptait un paramètre give_title qui finissait dans la fonction unserialize() de PHP. Le codebase du plugin contenait une chaîne de classes (une « POP gadget chain ») qui, déclenchée via cet appel unserialize, produisait une exécution de code arbitraire. Aucune authentification requise.

Affectées : versions antérieures à 3.14.2. Divulguée le 7 août 2024 avec un PoC fonctionnel. Le correctif était simple mais son déploiement a été inégal — beaucoup de sites sont restés exposés pendant des jours.

§ 02 — INDICATEURS

Ce que nous en faisons

[ JOURNAL D'ACCÈS ]
Requêtes POST vers /?give_action=donation ou admin-ajax.php avec give_title contenant du PHP sérialisé (commence par O:, a:, s:). Étonnamment clair dans les logs.
[ FICHIERS ]
Nouveau PHP dans wp-content/uploads/ ou n'importe où en dehors du dossier du plugin GiveWP après août 2024.
[ UTILISATEURS ]
Comptes admin créés depuis la divulgation. Souvent le payload immédiat de la RCE.
[ ACTIVE_PLUGINS ]
Ligne active_plugins de wp_options contenant des plugins que vous n'avez pas installés. Souvent des plugins de type file-manager utilisés comme web shell de seconde étape.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →