【安全资讯】CVE-2024-8353：严重的GiveWP漏洞威胁10万WordPress网站

概要：

一项严重漏洞被发现于流行的GiveWP捐赠插件，该漏洞可能使未经认证的攻击者能够完全控制受影响的网站。此漏洞被追踪为CVE-2024-8353，并被赋予了最高严重性评分10。此漏洞给全球大量WordPress网站带来了重大安全风险。

主要内容：

发现的严重漏洞CVE-2024-8353存在于流行的WordPress插件GiveWP中，未授权的攻击者可以通过这一漏洞对受影响网站进行远程代码执行。此漏洞源于PHP对象注入，具体因不信任输入的不当处理，尤其是在反序列化多个参数时如‘give_title’和‘card_address’。

通过这一漏洞，攻击者可以向系统注入恶意PHP对象。且因为存在POP（属性编程）链，攻击者可以利用这个漏洞删除任意文件并在目标网站上获得远程代码执行权限。这个漏洞与CVE-2024-5932类似，但有关键区别，即stripslashes_deep在user_info上的使用绕过了is_serialized检查，便于攻击者利用反序列化过程。

尽管3.16.1版本中已进行了部分快丁补丁，但强硬措施直到3.16.2版本才完全消除了漏洞风险。所有3.16.1及之前版本的GiveWP均易受攻击。鉴于这一插件有超过10万次的活动安装量，这为依赖该插件进行筹款的WordPress网站带来了显著的安全风险。

网站管理员应立即将GiveWP更新至3.16.2或更高版本。此外，管理员还应监控日志，以识别任何可疑活动，特别是反序列化错误或不明文件删除。采用额外的安全手段，如网络应用防火墙（WAF）和入侵检测系统（IDS），可帮助减轻未来漏洞的风险。