CVE-2024-5932 · Unauth RCE · deserialization
GiveWP compromise cleanup.
Une object-injection PHP non authentifiée dans GiveWP a permis aux attaquants d'exécuter du code sur le serveur. PoC public, scan massif, exploité à grande échelle à partir d'août 2024. Si votre site exécutait une version affectée, obtenez un examen forensique. Forfait $279.
What the bug was
Entrée utilisateur → unserialize() → RCE via POP gadget.
Le formulaire de don de GiveWP acceptait un paramètre give_title qui finissait dans la fonction unserialize() de PHP. Le codebase du plugin contenait une chaîne de classes (une « POP gadget chain ») qui, déclenchée via cet appel unserialize, produisait une exécution de code arbitraire. Aucune authentification requise.
Affectées : versions antérieures à 3.14.2. Divulguée le 7 août 2024 avec un PoC fonctionnel. Le correctif était simple mais son déploiement a été inégal — beaucoup de sites sont restés exposés pendant des jours.
Indicators
Ce que nous en faisons
JOURNAL D'ACCÈS
Requêtes POST vers /?give_action=donation ou admin-ajax.php avec give_title contenant du PHP sérialisé (commence par O:, a:, s:). Étonnamment clair dans les logs.
FICHIERS
Nouveau PHP dans wp-content/uploads/ ou n'importe où en dehors du dossier du plugin GiveWP après août 2024.
UTILISATEURS
Comptes admin créés depuis la divulgation. Souvent le payload immédiat de la RCE.
ACTIVE_PLUGINS
Ligne active_plugins de wp_options contenant des plugins que vous n'avez pas installés. Souvent des plugins de type file-manager utilisés comme web shell de seconde étape.
Tarifs
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Démarrer un nettoyageMonitoring
$29 / mo
per site, cancel any time
Surveillance continue, durcissement, un nettoyage par an inclus.
Se protégerPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Voir tous les services →E-mail [email protected] or use the contact form.