פגיעות אבטחה חמורה התגלתה בתוסף GiveWP – תוסף תרומות פופולרי של אתרי וורדפרס. פגיעות אבטחה זו מעמידה למעלה מ- 100,000 אתרי וורדפרס בסיכון אבטחה משמעותי. הפגיעות נושאת ציון CVSS קריטי של 9.8, המצביע על רמת החומרה הגבוהה ביותר. תוסף GiveWP ידוע בממשק ידידותי למשתמש ותכונות חזקות לניהול התרומות. הפלאגין נועד לשימוש של עמותות, ארגוני צדקה ויחידים המבקשים לגייס כספים באינטרנט. עם זאת, פגם בווידג'ט התרומות של התוסף חשף חולשת אבטחה קריטית.
שורש הבעיה נעוץ בטיפול של התוסף בפרמטר 'card_address' בתוך טופס התרומה. באופן ספציפי, גרסאות עד וכולל 3.19.4 פגיעות להזרקת אובייקט PHP. מצב זה מתרחש עקב דה-סריאליזציה של קלט לא מהימן, מה שמאפשר להאקרים להחדיר אובייקטי PHP זדוניים. במילים פשוטות, האקרים יכולים לתפעל את הנתונים הנשלחים לאתר במהלך ניסיון תרומה. מניפולציה זו מאפשרת להם להכניס קוד שהשרת מפרש ומפעיל.
מה שהופך את הפגיעות הזו למסוכנת במיוחד היא הנוכחות של 'POP chain': מונח טכני זה מתייחס לרצף של פונקציות PHP שכאשר מופעלות, עלולות להוביל לביצוע קוד מרחוק (RCE) אשר מאפשר להאקרים להפעיל ולבצע פקודות שרירותיות בשרת המארח את האתר המושפע.
מפתחי תוסף GiveWP שחררו את גרסה 3.20.0 אשר מטפלת בפגיעות אבטחה קריטית זו. למנהלי אתרי וורדפרס מומלץ מאד לעדכן את התוסף שלהם לגרסה זו באופן מיידי.
