اخیرا چندین آسیب پذیری از جمله CVE-۲۰۲۲-۰۲۱۵ و CVE-۲۰۲۲-۰۲۳۶ در پلاگین های WordPress گزارش شده است که امکان حمله CSRF، XSS، افشای اطلاعات و … را برای مهاجم فراهم میکند. افزونه های وردپرس Login/Signup، Waitlist Woocommerce (Back in stock Notifier)، و Side Cart Woocommerce (Ajax) توسط XootiX در برابر جعل درخواست از طریق تابع save_settings موجود در ~/includes/xoo-framework/admin آسیب پذیر هستند. فایل /class-xoo-admin-settings.php که این امکان را برای مهاجمان فراهم می کند تا گزینه های دلخواه را در یک سایت به روز کنند که می تواند برای ایجاد یک حساب کاربری مدیریتی و اعطای دسترسی کامل به یک سایت در معرض خطر استفاده شود.
این مورد روی نسخههای قبل از 2.2 در پنجره ورود/ثبتنام، نسخههای قبل از 2.5.1 در فهرست انتظار Woocommerce (اعلانکننده بازگشت در انبار)، و نسخههای قبل از 2.0 در سبد جانبی Woocommerce (Ajax) تأثیر میگذارد.
ضمن اینکه افزونه WP Import Export WordPress (هر دو نسخه رایگان و پریمیوم) به دلیل عدم وجود بررسی قابلیت در تابع دانلود wpie_process_file_download موجود در فایل ~/includes/classes/class-wpie-general.php در برابر افشای داده های حساس تایید نشده آسیب پذیر هستند. این امکان را برای مهاجمان احراز هویت نشده فراهم کرد تا هر گونه اطلاعات وارد شده یا صادر شده را از یک سایت آسیب پذیر دانلود کنند که می تواند حاوی اطلاعات حساسی مانند داده های کاربر باشد. این روی نسخههای تا، و از جمله، 3.9.15 تأثیر میگذارد.
میتوانید افزونه های خود را به سرعت به روز رسانی کنید تا از این مشکلات خلاص شوید.
