Goby 漏洞发布|CVE-2024-8353:WordPress GiveWP 插件 /admin-ajax.php 命令执行漏洞

漏洞名称:WordPress GiveWP 插件 /admin-ajax.php 命令执行漏洞(CVE-2024-8353)

English Name:GiveWP WordPress Plugin /admin-ajax.php Command Execution Vulnerability (CVE-2024-8353)

CVSS core: 9.0

漏洞描述:

GiveWP 是一个非常受欢迎的 WordPress 插件,专门用于非营利组织和个人接受在线捐款。

WordPress中的GiveWP捐款插件和募款平台插件存在PHP对象注入漏洞,影响所有版本至包括(含)3.16.1版本。该漏洞通过反序列化不可信输入的几个参数(如'give_title'和'card_address')产生。这使得未经身份验证的攻击者可以注入PHP对象。另外,存在POP链使得攻击者可以删除任意文件并实现远程代码执行。

FOFA自检语句:

body="/wp-content/plugins/give/" && body="wp-includes"

受影响资产数量: 48,042

受影响版本:

影响所有版本至包括(含)3.16.1版本

解决方案:

1、通过防火墙等安全设备设置访问策略,设置白名单访问。

2、如非必要,禁止公网访问该系统。

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,实战漏洞验证效果如图所示:

了解Goby

Goby预置了最具实战化效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞。Goby也提供了可以自定义的漏洞检查框架,发动了互联网的大量安全从业者贡献POC,保证持续的应急响应能力,目前已收录1900+POC。

获取Goby:获取Goby

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

相关推荐
ts小陈3 天前
WordPress弹窗公告插件-ts小陈
wordpress
Gobysec8 天前
Goby AI 2.0 自动化编写 EXP | Mitel MiCollab 企业协作平台 npm-pwg 任意文件读取漏洞(CVE-2024-41713)
poc·exp·漏洞扫描工具·漏洞验证·cve-2024-41713·mitel micollab
东软吴彦祖9 天前
实现基于分布式的LAMP架构+NFS实时同步到备份服务器
linux·运维·服务器·mysql·架构·wordpress
林家阿酒12 天前
WordPress XStore Elementor 前端与编辑器内容不同步的问题
编辑器·wordpress·elementor
皓月盈江14 天前
wordpress网站使用Linux宝塔面板和SQL命令行导入导出超过50M限制的数据库
linux·数据库·sql·mysql·wordpress·宝塔面板·导入导出数据库
xgtu16 天前
WordPress安装或访问时出现数据库连接错误的处理方式
wordpress
A5资源网21 天前
wordpress仿社交软件SOUL 动态标签星球- 为你的博客注入灵魂
css·wordpress
wodrpress资源分享22 天前
Doge东哥wordpress主题
wordpress
皓月盈江23 天前
wordpress网站首页底部栏显示网站备案信息
linux·服务器·wordpress·网站备案·footer.php·主题编辑器·网站底部添加备案信息
皓月盈江1 个月前
Linux宝塔部署wordpress网站更换服务器IP后无法访问管理后台和打开网站页面显示错乱
linux·服务器·wordpress·无法访问wordpess后台·打开网站页面错乱·linux宝塔面板·wordpress更换服务器