Vulnerabilidad en GiveWP – Donation Plugin and Fundraising Platform para WordPress (CVE-2025-4571)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/06/2025
Última modificación:
10/07/2025
Descripción
El complemento GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a la visualización y modificación no autorizada de datos debido a una comprobación insuficiente de la capacidad de las funciones de comprobación de permisos en todas las versiones hasta la 4.3.0 incluida. Esto permite a atacantes autenticados, con acceso de colaborador o superior, ver o eliminar campañas de recaudación de fondos, consultar los datos de los donantes, modificar eventos de campaña, etc.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:givewp:givewp:*:*:*:*:*:wordpress:*:* | 4.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/API/Endpoints/Logs/Endpoint.php#L26
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/API/Endpoints/Logs/GetLogs.php#L40
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/Campaigns/ListTable/Routes/DeleteCampaignListTable.php#L40
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/Campaigns/ListTable/Routes/GetCampaignsListTable.php#L95
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/Donors/Endpoints/Endpoint.php#L57
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/Donors/Endpoints/ListDonors.php#L31
- https://plugins.trac.wordpress.org/browser/give/tags/4.2.0/src/EventTickets/Routes/UpdateEvent.php#L36
- https://plugins.trac.wordpress.org/changeset/3305112/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/8f03b4ef-e877-430e-a440-3af0feca818c?source=cve