O plugin é usado atualmente por diversas organizações para receber donativos.

A esta falha foi atribuído o CVE-2019-6703, sendo que foram descobertas perto de 88 ações em AJAX no WordPress que podem ser acedidas por utilizadores não autenticados fazendo queries ao típico endpoint /wp-admin/admin-ajax.php.

Possibilidades de exploração:

- Enviar pedidos a um evento de AJAX e depois tomar uma ação específica pata atualizar valores de opções do WordPress arbitrárias e comprometer o site.

- Registo de novos utilizadores e definição de um um novo papel para os tornar administradores.

- Acesso a listas de email do Constant Contact e Mailchimp, que podendo modificar e apagar planos de pagamento, dado este plugin poder ligar-se ao Stripe como processador de pagamento.

67 add_action("wp_ajax_miglaA_retrieve_cc_lists", "miglaA_retrieve_cc_lists");

68 add_action("wp_ajax_nopriv_miglaA_retrieve_cc_lists", "miglaA_retrieve_cc_lists");

69

70 function miglaA_retrieve_cc_lists()

71 {

72 $cc = new migla_constant_contact_class();

73 $theList = $cc->get_milist();

74

75 echo $theList;

76 die();

77 }

- Envio de emails a qualquer endereço, provocar ataques DoS ou de negação de serviço através de emails para fora, e isto como consequência da inclusão da vítima em listas de spam

Mais informação: https://www.wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/