近日，在 GiveWP 插件中发现了一个严重漏洞，该插件是 WordPress 使用最广泛的在线捐赠和筹款工具之一。该漏洞被跟踪为 CVE-2025-22777，CVSS 评分为 9.8的严重级别，可能被攻击者利用以远程控制目标网站。这一事件牵涉到超过 100,000 个活跃安装，对使用该插件进行在线捐赠或资金筹集的机构和个人构成了极大的安全隐患。

GiveWP插件拥有超过 100,000 个活跃安装，为全球无数捐赠平台提供支持。正如他们的 WordPress 插件页面上所指出的，“GiveWP 是 WordPress 评分最高、下载次数最多和最受支持的捐赠插件。无论用户是需要一个简单的捐赠按钮，还是需要一个针对在线捐赠优化的强大捐赠平台，GiveWP 都可以实现。”

然而，GiveWP 的流行也使其成为攻击者的目标，导致多年来发现了多个漏洞。最新的漏洞 CVE-2025-22777 源于未经身份验证的 PHP 对象注入，允许攻击者绕过安全机制并可能接管 WordPress 网站。此缺陷是由于数据库中元数据的存储不安全所致，元数据可能会被恶意反序列化。

攻击者可能会实施数据泄露和篡改，例如窃取捐赠记录和用户敏感信息。此外，他们可能通过插入恶意文件来建立持久化后门，从而维持对系统的长期访问。攻击者还可以利用被感染的网站作为跳板，进行钓鱼攻击、供应链攻击等后续行动。这些安全隐患主要源于输入验证不足的问题，从而造成了高风险。

根据 Patchstack 安全研究员 Ananda Dhakal 的报告，该漏洞存在于 GiveWP 3.19.3 及更低版本中。Dhakal 解释说：“由于字符串的正则表达式检查较弱，整个序列化检查是可绕过的。攻击者可以在序列化的有效负载之间输入乱码文本，这将使正则表达式检查无效，并将恶意元数据存储在数据库中，最终将被反序列化。

值得注意的是，这并非 GiveWP 首次遭遇类似问题。该漏洞的根源可以追溯到之前的缺陷 CVE-2024-5932。CVE-2024-5932 涉及插件对 give-form-title 和 give_title 表单参数验证不当的问题，尽管在 3.14.2 版本中进行了修补，但研究人员发现攻击者仍可绕过基于正则表达式的序列化内容验证。

来自 Zalopay Security 的 Patchstack 联盟成员 Edisc，通过注入特殊字符序列，成功绕过了弱正则表达式验证，从而实现对漏洞的利用。这表明此前的修复措施存在明显不足，使得攻击者能够通过稍加修改的手法再次发起攻击。

以实际攻击场景为例，攻击者首先扫描互联网上运行旧版本GiveWP的网站。随后，他们利用特定脚本向存在漏洞的接口发送恶意请求。在成功的情况下，攻击者能够在目标服务器上执行任意代码，从而获得网站的控制权。由于漏洞的触发条件相对简单且成功率高，这进一步加剧了事件的危害性。

根据WordPress插件库的统计数据，GiveWP的安装量已超过10万次，其主要用户群体为非营利组织和小型机构。这些用户通常缺乏专职的技术支持，而插件在其业务运作中至关重要。如果漏洞修复滞后，可能会导致用户数据泄露可能损害机构的声誉；关键功能如果被禁用或篡改，可能会造成严重的经济损失；受感染的网站可能被攻击者用作后续攻击的跳板。

GiveWP 团队已迅速采取行动解决该漏洞，发布了 3.19.4 版本来修复该问题。强烈建议用户立即更新到最新版本以保护他们的网站。此外，为确保网站安全，建议全面更新包括GiveWP在内的所有插件及WordPress核心、其他插件和主题，以避免潜在漏洞叠加的风险。同时，强化访问控制与流量监测，启用Web应用防火墙（WAF）以阻止恶意请求，并对插件相关的API接口实施严格的访问权限限制，防止未经授权的外部访问。

此次 GiveWP 漏洞事件再次凸显了插件安全对整体网站安全的重要性。特别是针对像 GiveWP 这样的高频使用插件，其漏洞不仅威胁到单一站点，更可能引发连锁反应。未来，随着插件开发与使用的进一步普及，“安全意识”应成为所有网络从业者与管理员的共同底线。

文章参考：

https://securityonline.info/cve-2025-22777-cvss-9-8-critical-security-alert-for-givewp-plugin-with-100000-active-installations/