HackerNews 编译,转载请注明出处:
WordPress 插件中的一处关键性安全漏洞(编号为 CVE – 2025 – 0912),使全球超 10 万个网站面临未授权的远程代码执行(RCE)攻击风险。
该漏洞在 GiveWP 捐款插件中被发现,其严重程度达到 CVSS 评分体系中的最高值 ——9.8 分(关键级)。漏洞产生的根源在于插件处理捐款表单时,对用户输入的数据未进行妥善处理。
攻击者可利用此漏洞,通过反序列化不可信输入,在插件代码库中注入恶意 PHP 对象,并借助面向属性编程(POP)链实现对服务器的全面入侵。
漏洞存在于插件处理捐款表单中 card_address 参数的方式当中。在 3.19.4 及更早版本中,该插件未能对通过此字段传递的序列化数据进行有效验证或清理,从而导致 PHP 对象注入(CWE – 502)。
在处理捐款时,give_process_donation_form()函数会反序列化用户输入,却未进行充分检查,这就让攻击者得以精心制作攻击载荷,进而实例化任意 PHP 对象。
实现远程代码执行的关键因素是插件代码库中存在可利用的 POP 链。这些链允许攻击者将诸如析构函数或唤醒函数之类的小工具方法串联起来,从而将对象注入升级为系统命令执行,正如 Wordfence 报告所指出的那样。
此漏洞能够绕过 WordPress 的安全nonce机制,且无需身份验证,任何外部攻击者都能利用。一旦成功利用,攻击者便能够:
- 删除任意文件(包括 wp-config.php)提取数据库凭证信息通过网页后门安装后门程序
鉴于 GiveWP 为非营利组织、宗教团体和政治活动等提供捐款系统支持,被入侵的网站面临金融欺诈、捐赠者数据被盗以及声誉受损等风险。攻击者可能会篡改网站、拦截捐款或部署加密货币挖矿程序。该插件与 PayPal 和 Stripe 等支付网关的集成也引发了对交易系统二次入侵的担忧。
安全分析公司 Defiant 的分析师警告称,尽管已发布 3.20.0 版本来修复此问题(通过实施严格输入验证和移除不安全的反序列化操作),但仍有超过 30% 的受影响网站尚未修补。
网站管理员必须采取以下行动:
- 立即更新至 GiveWP 3.20.0 或更高版本审查服务器日志,查找对 /wp-json/givewp/v3/donations 的可疑 POST 请求部署 Web 应用程序防火墙(WAF)规则,阻止 card_address 参数中的序列化数据监测未经授权的文件更改或新管理员用户情况
对于暂时无法立即修补的网站,临时缓解措施包括禁用捐款小部件,或限制表单提交,仅允许通过 reCAPTCHA 验证的用户提交。
目前虽尚未发现活跃的利用行为,但该漏洞的简单性和高影响性使其成为勒索软件组织的主要攻击目标。
WordPress 安全团队敦促使用 GiveWP 的组织订阅漏洞披露信息源,并实施诸如 MalCare 实时漏洞利用预防之类的原子级安全措施。
鉴于全球超过 43% 的网站基于 WordPress 构建,此漏洞凸显了在非营利组织网络基础设施中,对第三方插件进行严格审核以及实施自动化补丁管理的迫切必要性。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
