专注于WordPress网站安全的资安业者Wordfence指出，他们在今年5月下旬接获通报，得知提供用户向网站所有者进行捐款的插件程序GiveWP存在重大层级漏洞CVE- 2024-5932，未经身分验证的攻击者有机会借由注入PHP对象触发漏洞，利用属性导向程序（Property Oriented Programming，POP）攻击链远程运行任意代码（RCE），或是删除任意文件，此弱点的CVSS风险评分达到10分（满分为10分），影响3.14.1版以前的GiveWP，软件开发商已于8月7日发布3.14.2版予以修补。由于该插件程序有超过10万个网站采用，Wordfence呼吁管理者应尽速套用新版软件。

为何这项漏洞的CVSS评分达到满分？Wordfence并未直接说明，但他们特别提及这并非单纯的RCE漏洞，攻击者还能用来删除文件，并且进一步接管网站，显然此漏洞极度危险。

针对这项漏洞的发生，研究人员指出，由于PHP使用串行化处理格式来存储复杂的数据，这类数据可被用于存放PHP对象而衍生资安弱点。假如插件程序在尚未清理的情况下，以非串行化方式处理用户提供的数据，一旦攻击者注入有效酬载，就有可能因为无法串行化而以PHP对象存放，若是用户在类别当中使用了特殊功能函数（Magic Methods），攻击者就有机会触发漏洞，通过对give_title参数输入不受信任的内容进行反串行化，即可在尚未通过身分验证的情况下注入PHP对象，并借由POP链远程运行任意代码。

根据WordPress网站的统计数据，约有26.9%使用GiveWP的3.15版而不受影响，而采用3.14版至3.14.2版的比例约占14.8%，换言之，很有可能还有至少近6成网站使用旧版GiveWP而曝险。