Goby 漏洞发布|CVE-2024-8353:WordPress GiveWP 插件 /admin-ajax.php 命令执行漏洞GiveWP 是一个非常受欢迎的 WordPress 插件,专门用于非营利组织和个人接受在线捐款。 WordPress中的GiveWP捐款插件和募款平台插件存在PHP对象注入漏洞,影响所有版本至包括(含)3.16.1版本。该漏洞通过反序列化不可信输入的几个参数(如’give_title’和’card_address’)产生。这使得未经身份验证的攻击者可以注入PHP对象。另外,存在POP链使得攻击者可以删除任意文件并实现远程代码执行。