CVE-2025-0912 olarak izlenen GiveWP bağış eklentisindeki kritik bir güvenlik kusuru, 100.000’den fazla WordPress web sitesini kime doğrulanmamış uzaktan kod yürütme (RCE) saldırılarına maruz bırakmıştır.
Güvenlik açığı, maksimum CVSS 9.8 (kritik) şiddet derecelendirmesi puanlama, eklentinin bağış formu işleme mantığında kullanıcı tarafından sağlanan verilerin uygunsuz ele alınmasından kaynaklanmaktadır.
Bu kusurdan yararlanmak, saldırganların güvenilmeyen girdinin sermayesi ile kötü niyetli PHP nesneleri enjekte etmelerini sağlar, tam sunucu uzlaşmasına ulaşmak için bir pop (özellik odaklı programlama) zincirinden yararlanır.
WordPress bağış eklentisi güvenlik açığı
Güvenlik açığı, eklentinin bağış formları içinde Card_Address parametresini taşımasında bulunur.
3.19.4’e kadar olan ve dahil olmak üzere sürümler, bu alandan geçirilen serileştirilmiş verileri doğrulayamaz veya sterilize edemez ve PHP nesne enjeksiyonunu sağlar (CWE-502).
Bağış işleme sırasında, GEÇ_PROCESS_DONATION_FORM () işlevi, kullanıcı girişini uygun kontroller olmadan serileştirir ve saldırganların keyfi PHP nesnelerini başlatan yükler üretmesine izin verir.
RCE’yi sağlayan kritik bir faktör, eklentinin kod tabanında sömürülebilir pop zincirlerinin varlığıdır. Bu zincirler, saldırganların nesne enjeksiyonunu sistem komutu yürütmesine yükseltmek için yıkıcılar veya uyandırma işlevleri gibi gadget yöntemlerini bir araya getirmelerine izin verir, WordFence raporunu okur.
Bu kusur, WordPress’in güvenlik nonslarını atlar ve herhangi bir harici saldırgan için erişilebilir olmasını sağlayarak kimlik doğrulaması gerektirmez. Başarılı sömürü:
- Keyfi dosya silme (wp-config.php dahil)
- Veritabanı Kimlik Bilgileri Çıkarma
- Web mermileri aracılığıyla arka kapı kurulumu
Kâr amacı gütmeyen kuruluşlar, dini organizasyonlar ve siyasi kampanyalar için verilen bağış sistemleri ile tehlikeye atılan siteler finansal sahtekarlık, bağışçı veri hırsızlığı ve itibar hasarı riskiyle karşı karşıya.
Saldırganlar web sitelerini tahrif edebilir, bağışları yönlendirebilir veya kripto para birimi madencilerini dağıtabilir. Eklentinin PayPal ve Stripe gibi ödeme ağ geçitleriyle entegrasyonu, işlem sistemlerinin ikincil ihlalleri konusunda endişeleri gündeme getiriyor.
Defiant’taki güvenlik analistleri, etkilenen sitelerin% 30’undan fazlasının, 3.20.0 sürümünün mevcudiyetine rağmen, katı giriş validasyonu uygulayarak ve güvenli olmayan fasirleşmeyi kaldırarak sorunu çözdüğü konusunda uyarıyor.
Hafifletme
Web sitesi yöneticileri:
- Hemen Givewp 3.20.0 veya üstüne güncelleme
- /WP-JSON/VITWP/V3/Donasyonlar için Şüpheli Gönderi İstekleri için Denetim Sunucusu Günlükleri
- Web Uygulaması Güvenlik Duvarı (WAF) Kuralları Dağıtım Serileştirilmiş Verileri Card_Address Parametrelerinde Engelleme
- Yetkisiz dosya değişikliklerini veya yeni yönetici kullanıcılarını izleyin
Hemen yama yapamayan siteler için geçici hafifletme, bağışların widget’ının devre dışı bırakılmasını veya form gönderimlerini geri gönderme işlemlerini geri göndermeyi içerir.
Henüz aktif istismar gözlenmemiş olsa da, güvenlik açığının sadeliği ve yüksek etkisi onu fidye yazılımı grupları için birincil hedef haline getirir.
WordPress Güvenlik ekipleri, Güvenlik Açığı Açıklama Beslemelerine abone olmaya ve Malcare’in gerçek zamanlı istismar önleme gibi atomik güvenlik önlemlerini uygulamaya devam etmek için VITWP kullanan kuruluşları teşvik eder.
WordPress çalıştıran tüm web sitelerinin% 43’ünden fazlası ile bu güvenlik açığı, kar amacı gütmeyen web altyapılarında titiz üçüncü taraf eklenti denetimleri ve otomatik yama yönetimi için kritik ihtiyacın altını çizmektedir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free