Defiantはこのほど、「GiveWP – Donation Plugin and Fundraising Platform <= 3.19.4 - Unauthenticated PHP Object Injection」において、WordPressの寄付プラグイン「GiveWP」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のPHPオブジェクトを挿入される可能性がある。また、POPチェーンが存在する場合はリモートコード実行(RCE: Remote Code Execution)が可能とされる。

  • GiveWP – Donation Plugin and Fundraising Platform <= 3.19.4 - Unauthenticated PHP Object Injection

    GiveWP – Donation Plugin and Fundraising Platform <= 3.19.4 - Unauthenticated PHP Object Injection

脆弱性の情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-0912 - 寄付フォームにPHPオブジェクトインジェクションの脆弱性。認証されていない攻撃者は任意のPHPオブジェクトを挿入できる可能性がある。また、POPチェーンが存在する場合は、リモートコード実行(RCE)できる可能性がある(CVSSスコア: 9.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • GiveWP 3.19.4およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • GiveWP 3.20.0

影響と対策

寄付プラグイン「GiveWP」は、10万サイト以上にインストールされている人気のWordPressプラグインだ。本稿執筆時点において、半数以上のWebサイトが脆弱なバージョンを運用しているものとみられる。

  • プラグインのバージョン分布 - 引用:wordpress.org

    プラグインのバージョン分布  引用:wordpress.org

発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。