در روز پنجشنبه ۱۴۰۰/۱۰/۳۰ در سایت افتا مطلبی برای مشکلات وردپرس منتشر شد و شامل چندین آسیب پذیری از جمله CVE-۲۰۲۲-۰۲۱۵ و CVE-۲۰۲۲-۰۲۳۶ در پلاگین های WordPress بود که امکان حمله CSRF، XSS، افشای اطلاعات و … را برای مهاجم فراهم میکرد.
افزونه های وردپرس Login/Signup، Waitlist Woocommerce (Back in stock Notifier)، و Side Cart Woocommerce (Ajax) توسط XootiX در برابر جعل درخواست بین سایتی از طریق تابع save_settings موجود در ~/includes/xoo-framework/admin آسیب پذیر هستند.
فایل /class-xoo-admin-settings.php نیز این امکان را برای مهاجمان فراهم می کند تا گزینه های دلخواه را در یک سایت به روز کنند که می تواند برای ایجاد یک حساب کاربری مدیریتی و اعطای دسترسی کامل به یک سایت در معرض خطر استفاده شود. این مشکل روی نسخههای قبل از 2.2 در پنجره ورود/ثبتنام، نسخههای قبل از 2.5.1 در فهرست انتظار Woocommerce (اعلانکننده بازگشت در انبار)، و نسخههای قبل از 2.0 در سبد کناری Woocommerce (Ajax) تأثیر میگذارد.
مشاهده سایر آسیب پذیریهای وردپرس
84000 سایت وردپرس تحت تاثیر سه پلاگین با آسیب پذیری یکسان قرار گرفته اند. ما قویاً توصیه میکنیم مطمئن شوید که سایت شما به آخرین نسخه هر یک از این افزونهها بهروزرسانی شده است، که نسخه 2.3 برای «ورود/ثبتنام پاپ آپ»، نسخه 2.5.2 برای «Waitlist Woocommerce (اطلاعدهنده بازگشت در انبار)» است، و نسخه 2.1 برای “سبد جانبی Woocommerce (Ajax)” میباشد.