Tienduizenden WordPress-sites lopen door een kritieke kwetsbaarheid in donatieplug-in GiveWP het risico om door aanvallers te worden overgenomen. Via GiveWP kunnen WordPress-sites donaties ontvangen of een fundraiser opzetten. Meer dan honderdduizend WordPress-sites maken gebruik van de plug-in.

Een kwetsbaarheid in de plug-in zorgt ervoor dat een aanvaller door middel van ongeauthenticeerde ' PHP object Injection' op afstand willekeurige code op het systeem kan uitvoeren. Bij PHP object Injection wordt gebruikersinvoer niet goed gesanitized, waardoor het mogelijk is om een payload te injecteren die een PHP object wordt, aldus securitybedrijf Wordfence.

In het geval van de kwetsbaarheid in GiveWP kan een aanvaller willekeurige code uitvoeren, willekeurige bestanden verwijderen waaronder de WordPress-configuratie en een kwetsbare website overnemen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Wordfence waarschuwde de ontwikkelaar op 13 juni, maar kreeg geen reactie. Op 28 juni volgde een tweede poging.

Deze tweede poging had ook geen resultaat, waarop op 6 juli het securityteam van WordPress.org werd gewaarschuwd. Op 7 augustus kwam de ontwikkelaar met versie 3.14.2 waarin het probleem is verholpen. Gebaseerd op cijfers van WordPress.org over het aantal WordPress-sites dat beschikbare updates installeert, blijkt dat meer dan veertigduizend sites niet up-to-date zijn en risico op aanvallen lopen.