threatover Patrik Grobshäuser

CVE-2024-5932 · Unauth RCE · deserialization

GiveWP compromise cleanup.

Une object-injection PHP non authentifiée dans GiveWP a permis aux attaquants d'exécuter du code sur le serveur. PoC public, scan massif, exploité à grande échelle à partir d'août 2024. Si votre site exécutait une version affectée, obtenez un examen forensique. Forfait $279.

What the bug was

Entrée utilisateur → unserialize() → RCE via POP gadget.

Le formulaire de don de GiveWP acceptait un paramètre give_title qui finissait dans la fonction unserialize() de PHP. Le codebase du plugin contenait une chaîne de classes (une « POP gadget chain ») qui, déclenchée via cet appel unserialize, produisait une exécution de code arbitraire. Aucune authentification requise.

Affectées : versions antérieures à 3.14.2. Divulguée le 7 août 2024 avec un PoC fonctionnel. Le correctif était simple mais son déploiement a été inégal — beaucoup de sites sont restés exposés pendant des jours.

Indicators

Ce que nous en faisons

  • JOURNAL D'ACCÈS

    Requêtes POST vers /?give_action=donation ou admin-ajax.php avec give_title contenant du PHP sérialisé (commence par O:, a:, s:). Étonnamment clair dans les logs.

  • FICHIERS

    Nouveau PHP dans wp-content/uploads/ ou n'importe où en dehors du dossier du plugin GiveWP après août 2024.

  • UTILISATEURS

    Comptes admin créés depuis la divulgation. Souvent le payload immédiat de la RCE.

  • ACTIVE_PLUGINS

    Ligne active_plugins de wp_options contenant des plugins que vous n'avez pas installés. Souvent des plugins de type file-manager utilisés comme web shell de seconde étape.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.