Uma grave vulnerabilidade de segurança foi identificada no GiveWP, um dos plugins de doação mais populares do WordPress, colocando mais de 100 mil sites em risco crítico de invasão. A falha, catalogada como CVE-2025-0912, recebeu uma pontuação CVSS de 9.8, o que representa o nível máximo de gravidade. O GiveWP é amplamente utilizado por organizações sem fins lucrativos, instituições de caridade e campanhas de arrecadação online, sendo conhecido por sua interface intuitiva e ferramentas completas de gestão de doações.

No entanto, uma falha grave no widget de doações do plugin expôs um ponto vulnerável capaz de permitir a execução remota de código (RCE) em servidores WordPress. O problema está na forma como o plugin manipula o parâmetro ‘card_address’ dentro do formulário de doações. Nas versões até a 3.19.4, o GiveWP permite a injeção de objetos PHP devido à desserialização de dados não confiáveis, abrindo espaço para que atacantes não autenticados injetem objetos maliciosos diretamente no servidor.

Na prática, isso significa que qualquer pessoa com acesso ao formulário de doação pode manipular os dados enviados e incluir códigos maliciosos que são interpretados e executados pelo servidor. Esse tipo de ataque não exige login ou privilégios especiais, tornando-o extremamente perigoso e de fácil exploração. Diante da gravidade da falha, os desenvolvedores do GiveWP lançaram a versão 3.20.0, que corrige o problema. Administradores de sites que utilizam o plugin são fortemente recomendados a aplicar a atualização imediatamente para evitar o risco de exploração.