GiveWP es un plugin de donaciones para sitios web de WordPress que permite a los sitios web aceptar donaciones de todo el mundo de manera fácil. Recientemente, se ha revelado una grave vulnerabilidad de seguridad (CVE-2024-5932) que permite a los hackers ejecutar código remoto sin necesidad de autenticación y eliminar todos los archivos. Se recomienda a los usuarios que actualicen a la versión 3.14.2.
La vulnerabilidad de WordPress se encuentra en el plugin GiveWP, con el número CVE-2024-5932. Esta vulnerabilidad tiene una puntuación de 10.0 en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), lo que indica que es extremadamente grave.
Esta vulnerabilidad es una inyección de objetos PHP (PHP Object Injection) que se encuentra en el parámetro “give_title” del plugin GiveWP. Esto permite la deserialización de objetos PHP especiales que se combinan con la cadena de programación orientada a aspectos (POP) existente en el plugin, lo que resulta en una ejecución remota de código (RCE). Esto significa que un atacante puede tomar el control total del sitio web de WordPress afectado sin necesidad de autenticación.
La serialización es el proceso de convertir datos complejos en una forma que se puede almacenar y transportar. La deserialización es el proceso de convertir los datos serializados de nuevo a su forma original. Un ejemplo de datos serializados en PHP es el siguiente:
a:2:{s:12:”productPrice”;s:5:”11111″;s:7:”price”;i:10;}
El código de PHP es principalmente orientado a objetos, lo que significa que está compuesto por “clases” que contienen variables (llamadas propiedades) y funciones (llamadas métodos). Las clases permiten crear objetos que pueden ser reutilizados y mantenidos fácilmente. Si un plugin no limpia adecuadamente los datos de entrada antes de deserializarlos, puede permitir que un atacante inyecte contenido malicioso que se convierta en un objeto PHP durante la deserialización. Si el objeto deserializado contiene un “método mágico” (Magic Method), puede resultar en un ataque malicioso.
Los métodos mágicos son funciones especiales en una clase que definen qué acciones deben realizarse cuando ocurre un evento específico, como limpiar un objeto cuando ya no es necesario o inicializar un objeto cuando se crea.
Esta vulnerabilidad fue descubierta por el investigador de seguridad villu164 a través del programa de recompensas de errores de Wordfence y se ha presentado un informe de investigación. Dado que este plugin se utiliza para donaciones y recaudación de fondos, un ataque podría exponer información confidencial de los donantes y afectar la reputación de la organización que utiliza el plugin. Se recomienda a los usuarios/organizaciones que actualicen a la versión 3.14.2 lo antes posible para evitar ser afectados por esta vulnerabilidad.
En resumen, es importante que los usuarios de GiveWP actualicen a la última versión para proteger sus sitios web de posibles ataques. Además, se recomienda a los desarrolladores de plugins que tengan en cuenta la seguridad al diseñar y desarrollar sus plugins para evitar futuras vulnerabilidades. La seguridad es una preocupación importante en el mundo digital y es responsabilidad de todos asegurarse de que nuestros sitios web y datos estén protegidos.