專注於WordPress網站安全的資安業者Wordfence指出，他們在今年5月下旬接獲通報，得知提供用戶向網站所有者進行捐款的外掛程式GiveWP存在重大層級漏洞CVE- 2024-5932，未經身分驗證的攻擊者有機會藉由注入PHP物件觸發漏洞，利用屬性導向程式（Property Oriented Programming，POP）攻擊鏈遠端執行任意程式碼（RCE），或是刪除任意檔案，此弱點的CVSS風險評分達到10分（滿分為10分），影響3.14.1版以前的GiveWP，軟體開發商已於8月7日發布3.14.2版予以修補。由於該外掛程式有超過10萬個網站採用，Wordfence呼籲管理者應儘速套用新版軟體。

為何這項漏洞的CVSS評分達到滿分？Wordfence並未直接說明，但他們特別提及這並非單純的RCE漏洞，攻擊者還能用來刪除檔案，並且進一步接管網站，顯然此漏洞極度危險。

針對這項漏洞的發生，研究人員指出，由於PHP使用序列化處理格式來儲存複雜的資料，這類資料可被用於存放PHP物件而衍生資安弱點。假如外掛程式在尚未清理的情況下，以非序列化方式處理使用者提供的資料，一旦攻擊者注入有效酬載，就有可能因為無法序列化而以PHP物件存放，若是用戶在類別當中使用了特殊功能函數（Magic Methods），攻擊者就有機會觸發漏洞，透過對give_title參數輸入不受信任的內容進行反序列化，即可在尚未通過身分驗證的情況下注入PHP物件，並藉由POP鏈遠端執行任意程式碼。

根據WordPress網站的統計資料，約有26.9%使用GiveWP的3.15版而不受影響，而採用3.14版至3.14.2版的比例約佔14.8%，換言之，很有可能還有至少近6成網站使用舊版GiveWP而曝險。