专注于WordPress网站安全的资安业者Wordfence指出，他们在今年5月下旬接获通报，得知提供用户向网站所有者进行捐款的外挂程序GiveWP存在重大层级漏洞CVE- 2024-5932，未经身分验证的攻击者有机会藉由注入PHP物件触发漏洞，利用属性导向程序（Property Oriented Programming，POP）攻击链远端执行任意程序码（RCE），或是删除任意文件，此弱点的CVSS风险评分达到10分（满分为10分），影响3.14.1版以前的GiveWP，软件开发商已于8月7日发布3.14.2版予以修补。由于该外挂程序有超过10万个网站採用，Wordfence呼吁管理者应儘速套用新版软件。

为何这项漏洞的CVSS评分达到满分？Wordfence并未直接说明，但他们特别提及这并非单纯的RCE漏洞，攻击者还能用来删除文件，并且进一步接管网站，显然此漏洞极度危险。

针对这项漏洞的发生，研究人员指出，由于PHP使用序列化处理格式来储存複杂的资料，这类资料可被用于存放PHP物件而衍生资安弱点。假如外挂程序在尚未清理的情况下，以非序列化方式处理使用者提供的资料，一旦攻击者注入有效酬载，就有可能因为无法序列化而以PHP物件存放，若是用户在类别当中使用了特殊功能函数（Magic Methods），攻击者就有机会触发漏洞，透过对give_title参数输入不受信任的内容进行反序列化，即可在尚未通过身分验证的情况下注入PHP物件，并藉由POP链远端执行任意程序码。

根据WordPress网站的统计资料，约有26.9%使用GiveWP的3.15版而不受影响，而採用3.14版至3.14.2版的比例约占14.8%，换言之，很有可能还有至少近6成网站使用旧版GiveWP而曝险。