Resumen ejecutivo
La vulnerabilidad crítica en el plugin GiveWP, versión 3.19.4 y anteriores, permite la inyección de objetos PHP no autenticados. Esta falla puede comprometer gravemente la seguridad del sitio web y la integridad de los datos.
Fuente base de datos: Wordfence Intelligence
GiveWP – Donation Plugin and Fundraising Platform <= 3.19.4 - Unauthenticated PHP Object Injection
PLUGIN
CRITICAL
CVE-2025-0912
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La inyección de objetos PHP no autenticados se produce cuando un atacante puede manipular la entrada de datos para ejecutar código PHP no autorizado. Esto afecta principalmente a la funcionalidad del plugin GiveWP, que gestiona donaciones y recaudaciones de fondos.
Impacto potencial
El impacto potencial incluye la posibilidad de acceso no autorizado a datos sensibles, alteración de la funcionalidad del plugin y la ejecución de código malicioso en el servidor, lo que podría resultar en la pérdida de confianza de los usuarios y daños financieros.
Vector de explotación
La explotación de esta vulnerabilidad puede llevarse a cabo a través de solicitudes HTTP manipuladas que no requieren autenticación previa, permitiendo a un atacante ejecutar código arbitrario en el servidor.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin GiveWP a la versión 3.20.0 o superior. Además, se deben revisar y reforzar las configuraciones de seguridad del servidor y del sitio web.
Señales de detección
Señales de posible explotación incluyen registros de acceso inusuales, intentos de inyección de datos en formularios del plugin y cambios inesperados en la base de datos relacionados con donaciones.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin GiveWP hasta la 3.19.4. Se recomienda revisar todas las instalaciones que utilicen este plugin para asegurar que no están expuestas a esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
give
GiveWP <= 4.13.1 - Unauthenticated Arbitrary Shortcode Execution
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms-Campaign Association
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms and Campaigns Disclosure
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.6.0 - Unauthenticated Donor Data Exposure
MEDIUM
PLUGIN
give
Give <= 3.22.0 - Missing Authorization to Unauthenticated Arbitrary Earning Reports Disclosure via give_reports_earnings Function
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.19.2 - Unauthenticated PHP Object Injection
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.19.3 - Unauthenticated PHP Object Injection
CRITICAL
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 3.16.1 - Unauthenticated PHP Object Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto