GiveWP插件中发现了一个严重漏洞,该插件是WordPress中使用最广泛的在线捐款和筹款工具之一。该漏洞被跟踪为 CVE-2025-22777,CVSS 得分为 9.8,表明其严重性。
GiveWP 插件的活跃安装量超过 100,000 个,为全球无数的捐赠平台提供了支持。正如其 WordPress 插件页面所指出的,“GiveWP 是 WordPress 上评分最高、下载量最大、支持最完善的捐赠插件。无论您需要的是一个简单的捐赠按钮,还是一个专为在线捐赠优化的功能强大的捐赠平台,GiveWP 都能满足您的需求。”
然而,GiveWP 的流行也使其成为攻击者的目标,导致多年来发现了多个漏洞。
最新的漏洞(CVE-2025-22777)源于未经验证的 PHP 对象注入,允许攻击者绕过安全机制,并有可能接管 WordPress 网站。该漏洞是由于数据库中的元数据存储不安全,可被恶意反序列化。
根据 Patchstack 安全研究员 Ananda Dhakal 的报告,该漏洞存在于 GiveWP 3.19.3 及以下版本中。Dhakal 解释说:“由于对字符串的 regex 检查较弱,整个序列化检查是可以绕过的。攻击者可以在序列化有效载荷之间输入胡言乱语的文本,从而使 regex 检查失效,并将恶意元数据存储到最终会被反序列化的数据库中。”
这不是 GiveWP 第一次遇到此类漏洞。该问题基于之前的一个漏洞 CVE-2024-5932,该漏洞涉及对 give-form-title 和 give_title 等表单参数的不当验证。虽然在 3.14.2 版中已对此进行了修补,但研究人员发现基于 regex 的序列化内容验证仍有可能被绕过。
来自 Zalopay Security 的 Patchstack 联盟成员 Edisc 通过注入特殊字符序列(如 %25F0%259F%2598%25BC)绕过了弱 regex 验证,从而利用了该漏洞。
关键的漏洞利用场景涉及捐款表单中的公司字段。一旦注入恶意有效载荷,它就会被存储为元数据,随后被反序列化,从而使攻击者能够执行任意文件删除,包括 wp-config.php 文件。这种删除可能导致全站接管和远程代码执行(RCE)。
GiveWP 团队已迅速采取行动解决该漏洞,发布了 3.19.4 版本以修复该问题。我们强烈建议用户立即更新到最新版本,以保护他们的网站。
发表评论
您还未登录,请先登录。
登录