Plataforma
wordpress
Componente
give
Corregido en
3.16.4
La vulnerabilidad CVE-2024-9634 es una ejecución remota de código (RCE) que afecta al plugin GiveWP – Donation Plugin and Fundraising Platform para WordPress. Esta falla permite a atacantes no autenticados inyectar objetos PHP y, potencialmente, ejecutar código malicioso en sistemas vulnerables. La vulnerabilidad se encuentra presente en todas las versiones del plugin hasta la 3.16.3. Se recomienda actualizar a la versión 3.16.4 para corregir esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando un objeto PHP malicioso a través del parámetro givecompanyname. La presencia de una cadena POP (Plain Old PHP object) permite al atacante lograr la ejecución remota de código en el servidor WordPress. Esto significa que un atacante podría tomar control total del sitio web, robar datos sensibles (como información de donantes, datos de usuarios y credenciales), modificar contenido, instalar malware o utilizar el servidor como punto de partida para ataques a otros sistemas en la red. El impacto es significativo, especialmente para organizaciones que dependen de GiveWP para la recaudación de fondos y la gestión de donaciones.
Esta vulnerabilidad ha sido publicada públicamente el 16 de octubre de 2024. No se ha confirmado la explotación activa en la naturaleza, pero la severidad crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas vulnerables y aplicar las mitigaciones lo antes posible. La vulnerabilidad podría ser añadida al Catálogo de Vulnerabilidades Conocidas (KEV) de CISA en el futuro.
Organizations and individuals utilizing FreeBSD-x64 systems with Node.js installed, particularly those running the affected version 213.21.24–213.21.24, are at risk. This includes developers, system administrators, and users who rely on Node.js applications deployed on these systems.
disclosure
Estado del Exploit
EPSS
22.79% (96% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin GiveWP a la versión 3.16.4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes que contengan objetos PHP sospechosos en el parámetro givecompanyname. Además, revise los registros del servidor en busca de intentos de inyección de código y configure reglas de detección en sistemas de prevención de intrusiones (IPS). Después de la actualización, confirme que la vulnerabilidad ha sido corregida revisando los registros del servidor y realizando pruebas de penetración básicas.
Actualice el plugin GiveWP a la versión 3.16.4 o superior. Esta versión contiene la corrección para la vulnerabilidad de inyección de objetos PHP que permite la ejecución remota de código. La actualización se puede realizar directamente desde el panel de administración de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9634 is a security vulnerability affecting FreeBSD-x64 systems running Node.js. The specific details and impact are still being investigated.
If you are running FreeBSD-x64 with Node.js version 213.21.24–213.21.24, you may be affected. Monitor vendor advisories for confirmation.
Currently, no specific fix is available. Monitor official FreeBSD and Node.js security advisories for updates and apply patches promptly when released.
There are currently no reports of active exploitation, but the vulnerability is under investigation.
Refer to the official FreeBSD security advisories page and Node.js security announcements for updates and information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.