آسیب پذیریهایی مانند CVE-2021-25049 و CVE-2021-24865 در پلاگینهای WordPress امکان حمله SQL Injection، XSS، CSRF و … را برای مهاجم فراهم میکند. این خبری بود که در تاريخ ۱۴۰۰/۱۱/۰۹ در سایت افتا منتشر شد.
افزونه Mobile Events Manager WordPress قبل از ورژن 1.4.4تنظیمات مختلف خود را حفظ نمیکند و به کاربران با امتیاز بالا اجازه میدهد تا حملات Cross-Site Scripting را حتی زمانی که قابلیت unfiltered_html غیرمجاز است انجام دهند. این مشکل در ورژن بعدی برطرف شده و میتوانید به سرعت آن را آپدیت نمایید.
افزونه Orders Tracking for WooCommerce WordPress قبل از نسخه 1.1.10 فایل_url را قبل از خروجی مجدد در صفحه مدیریت، پاکسازی نمی کند که منجر به اسکریپت بین سایتی معکوس شده میشود.
افزونه WP125 وردپرس قبل از نسخه 1.5.5 دارای بررسی های CSRF در اقدامات مختلف افراد نیست، به عنوان مثال هنگام حذف یک تبلیغ، به مهاجمان اجازه می دهد تا آن را از طریق یک حمله CSRF حذف کنند. ضمن اینکه افزونه Protect WP Admin WordPress قبل از نسخه 3.6.2 مجوز را در فایل lib/pwa-deactivate.php بررسی نمی کند، که می تواند به کاربران احراز هویت نشده اجازه دهد تا افزونه را از طریق یک درخواست دستکاری شده غیرفعال کنند.
Advanced Custom Fields یا همان افزونه توسعه یافته وردپرس قبل از نسخه 0.8.8.7 برخی پارامترها را قبل از استفاده در SQL تأیید نمی کند و منجر به یک مشکل SQL Injection می شود.
اما خبر خوب اینجاست که تمام یموارد فوق در ورژن های بعدی برطرف شده و با یک به روز رسانی ساده برطرف خواهند شد.