【安全资讯】CVE-2024-9634：严重的GiveWP漏洞使超过10万个WordPress网站面临远程代码执行风险

概要：

一个严重的安全漏洞（CVE-2024-9634）在GiveWP这一流行的WordPress捐赠插件中被发现并已修复，该插件在全球拥有超过10万个活跃安装。此漏洞可能允许未经身份验证的攻击者在易受攻击的网站上执行任意代码，危及敏感的捐赠者数据并完全控制网站。

主要内容：

该漏洞被评为CVSS 9.8，源于GiveWP插件对give_company_name参数处理不当，导致攻击者能够注入恶意PHP对象。结合现有的POP链（代码中可串联的多个小段），攻击者可以实现远程代码执行。由于GiveWP插件的广泛使用，这一漏洞使大量网站处于危险之中。

攻击者利用CVE-2024-9634漏洞可以在不需要身份验证或绕过其他安全控制的情况下，执行任意代码，从而完全控制受影响的网站。GiveWP开发团队迅速响应，发布了修复版本（3.16.4）以解决该漏洞。所有GiveWP用户被强烈建议立即更新到最新版本，以确保安全。

此事件不仅突显了WordPress插件在安全性方面的脆弱性，也提醒网站管理员定期检查和更新其使用的插件，以防止潜在的安全威胁。