Una falla de seguridad crítica en el ampliamente utilizado GiveWP: complemento de donación y plataforma de recaudación de fondos ha dejado a más de 10,000 sitios web de WordPress vulnerables a ataques de ejecución remota de código desde el 3 de marzo de 2025.
Registrada como CVE-2025-0912, la vulnerabilidad permite a atacantes no autenticados secuestrar sitios explotando una falla de deserialización en las versiones 3.19.4 y anteriores.
La vulnerabilidad surge de una desinfección inadecuada del parámetro card_address en los formularios de donación.
Los atacantes pueden inyectar objetos PHP maliciosos en servidores web, aprovechando una cadena de programación orientada a propiedades (POP) para ejecutar código arbitrario y obtener control total sobre los sitios afectados.
Con una puntuación CVSS de 9,8 (crítico), la falla permite a los actores de amenazas robar datos confidenciales de los donantes, implementar puertas traseras o redirigir transacciones sin autenticación.
El investigador de seguridad Dream Hard descubrió el problema durante el análisis de código de rutina y señaló que la deserialización de entradas no confiables pasó por alto todos los controles de seguridad en el flujo de trabajo de procesamiento de pagos del complemento.
“Esta vulnerabilidad es una tormenta perfecta: uso generalizado, explotación trivial y alto impacto. Los atacantes podrían desfigurar sitios, desviar fondos o aumentar privilegios en cuestión de minutos”, advirtió el investigador.
Riesgos de impacto y explotación
GiveWP impulsa los sistemas de donación para organizaciones sin fines de lucro, organizaciones religiosas y campañas políticas en todo el mundo, manejando millones en transacciones anualmente. Riesgo de sitios comprometidos:
- Fraude financiero mediante pasarelas de pago modificadas
- Filtraciones de datos que exponen nombres de donantes, correos electrónicos y direcciones de facturación
- Envenenamiento de SEO mediante redirecciones maliciosas inyectadas
- Adquisición completa del sitio para alojar contenido de phishing
Wordfence Intelligence confirmó el escaneo activo en busca de sitios vulnerables a partir del 4 de marzo, con al menos tres cadenas de exploits distintas observadas en la naturaleza.
La popularidad del complemento entre entidades de misión crítica aumenta las preocupaciones sobre instancias sin parches.
Mitigación y respuesta
GiveWP lanzó la versión 3.20.0 el 4 de marzo, introduciendo comprobaciones de validación y deserialización de datos restringida. Los administradores deben inmediatamente:
- Actualización a la versión parcheada
- Auditar los registros del servidor en busca de solicitudes POST sospechosas a /wp-json/give/v1/donations
- Revocar y regenerar claves API para procesadores de pagos
«Las organizaciones que utilizan versiones anteriores deben asumir un compromiso», instó el equipo de análisis de amenazas de Wordfence. «Realizar análisis completos de malware y supervisar las cuentas de los donantes en busca de irregularidades».
La comunidad de ciberseguridad criticó el cronograma de respuesta inicial de GiveWP y señaló que el parche llegó 48 horas después de la divulgación pública.
Los mantenedores de código abierto enfatizaron la necesidad de procesos de revisión de código más estrictos, particularmente en complementos que manejan datos financieros.
Al 5 de marzo, más de 7.000 sitios seguían sin parchear según la telemetría de WordPress.org. Con los exploits PoC circulando en los foros de hackers, la ventana para la defensa proactiva se está cerrando rápidamente.
Las organizaciones que confían en GiveWP deben priorizar las actualizaciones para evitar daños irreversibles a su reputación y financieros.
