در تاریخ جمعه ۱۴۰۰/۰۹/۰۵ چندین آسیبپذیری برای وردپرس در سایت افتا گزارش شد. این مطلب اشاره میکرد که چندین آسیبپذیری از جمله CVE-۲۰۲۱-۳۶۹۱۶ و CVE-۲۰۲۱-۲۴۶۴۱ در پلاگینهای WordPress امکان حمله SQL Injection، XSS، CSRF و … را برای مهاجم فراهم میکنند.
آسیبپذیری تزریق SQL در افزونه Hide My WP WordPress (نسخههای 6.2.3 و قبل از آن) به دلیل نحوه بازیابی و استفاده از آدرس IP در داخل یک کوئری امکانپذیر است. تابع “hmwp_get_user_ip” سعی می کند آدرس IP را از چندین هدر، از جمله هدر های آدرس IP که کاربر می تواند جعل کند، مانند “X-Forwarded-For” بازیابی کند. در نتیجه، بار مخرب ارائه شده در یکی از این هدرهای آدرس IP مستقیماً در SQL درج می شود و تزریق SQL را ممکن میسازد. این مشکل در ورژن 6.2.4 برطرف شده است.
افزونه Images to WebP WordPress قبل از نسخه 1.9 بررسی CSRF را در هنگام انجام برخی اقدامات مدیریتی انجام نمیدهد، که می تواند منجر به تغییر تنظیمات افزونه، انکار سرویس و یا تبدیل شدن تصویر دلخواه شود. این مشل نیز در ورژن بعدی برطرف شده است.
افزونه MainWP Child WordPress قبل از ورژن 4.1.8 مشکلی در پارامتر orderby و order دارد و منجر به تزریق SQL توسط کاربران دارای امتیاز بالا مانند admin می شود. این مشکل هنوز برطرف نشده اما در ورژن بعدی که به زودی منتشر خواهد شد، برطرف میشود.
افزونه وردپرس Hide My WP (نسخه های قبل از 6.2.3) توسط هر کاربر احراز هویت نشده، میتواند غیرفعال شود. ضمن اینکه امکان بازیابی رمز عبور نیز وجود دارد که پس از آن می توان برای غیرفعال کردن افزونه مورد نظر استفاده کرد.
