Goby 漏洞发布|CVE-2024-8353:WordPress GiveWP 插件 /admin-ajax.php 命令执行漏洞

漏洞名称:WordPress GiveWP 插件 /admin-ajax.php 命令执行漏洞(CVE-2024-8353)

English Name:GiveWP WordPress Plugin /admin-ajax.php Command Execution Vulnerability (CVE-2024-8353)

CVSS core: 9.0

漏洞描述:

GiveWP 是一个非常受欢迎的 WordPress 插件,专门用于非营利组织和个人接受在线捐款。

WordPress中的GiveWP捐款插件和募款平台插件存在PHP对象注入漏洞,影响所有版本至包括(含)3.16.1版本。该漏洞通过反序列化不可信输入的几个参数(如'give_title'和'card_address')产生。这使得未经身份验证的攻击者可以注入PHP对象。另外,存在POP链使得攻击者可以删除任意文件并实现远程代码执行。

FOFA自检语句:

body="/wp-content/plugins/give/" && body="wp-includes"

受影响资产数量: 48,042

受影响版本:

影响所有版本至包括(含)3.16.1版本

解决方案:

1、通过防火墙等安全设备设置访问策略,设置白名单访问。

2、如非必要,禁止公网访问该系统。

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞验证效果如图所示:

了解Goby

Goby预置了最具实战化效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞。Goby也提供了可以自定义的漏洞检查框架,发动了互联网的大量安全从业者贡献POC,保证持续的应急响应能力,目前已收录1900+POC。

获取Goby:获取Goby

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

相关推荐
jump_jump4 天前
EmDash:如果今天重写一遍 WordPress
cms·全栈·wordpress
豆豆20 天前
什么是CMS系统_网站内容管理系统功能、分类与搭建方法详解
cms·wordpress·内容管理系统·网站管理系统·saas 建站·网站后台管理·网站建站
豆豆21 天前
2026年如何选择适合自己的网站管理系统?
数据库·cms·wordpress·建站系统·网站管理系统·建站软件·织梦
Web极客码21 天前
使用FeedBurner优化WordPress订阅体验
服务器·wordpress·feedburner
cll_86924189122 天前
WordPress Porto 主题后台一直提示 Porto Functionality 插件需要更新,如何隐藏?
wordpress
Web极客码24 天前
使用人工智能翻译WordPress网站
服务器·人工智能·wordpress
豆豆1 个月前
2026年企业如何选择CMS网站管理系统和建站系统
cms·wordpress·建站系统·内容管理系统·网站管理系统·建站软件·建站工具
小牛itbull1 个月前
告别传统主题开发!ReactPress Theme Starter —— 用 Next.js 15 构建现代化无头博客
javascript·cms·react·wordpress·nextjs·reactpress·blog-theme
TG_yunshuguoji1 个月前
阿里云代理商:阿里云部署 WordPress的3 种方案
人工智能·阿里云·云计算·wordpress·ai智能体
Web极客码2 个月前
加快WooCommerce性能
服务器·wordpress·网站