Плагин GiveWP – Donation Plugin and Fundraising Platform для WordPress уязвим для внедрения PHP-объектов во всех версиях до 3.16.1 включительно через десериализацию ненадежного ввода через несколько параметров, таких как ‘give_title’ и ‘card_address’. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять PHP-объект. Дополнительное наличие POP-цепочки позволяет злоумышленникам удалять произвольные файлы и добиваться удаленного выполнения кода. По сути, это та же уязвимость, что и CVE-2024-5932, однако было обнаружено, что наличие stripslashes_deep в user_info позволяет обойти проверку is_serialized. Эта проблема была в основном исправлена в версии 3.16.1, но дальнейшее усиление было добавлено в версии 3.16.2.