وردپرس یک سیستم مدیریت محتوای رایگان و منبع باز است که به زبان PHP نوشته شده و با پایگاه داده MariaDB جفت شده است.در روز دوشنبه ۱۴۰۰/۱۰/۲۰ آسیب پذیری های جدیدی مربوط به وردپرس در سایت افتا منتشر شد. در ادامه مطلب آمده است که :چندین آسیبپذیری از جمله CVE-۲۰۲۲-۲۱۶۶۱ و CVE-۲۰۲۲-۲۱۶۶۴ در پلاگینهای WordPress امکان حمله SQL Injection، XSS و … را برای مهاجم فراهم میکنند.
کاربران احراز هویت شده با امتیاز پایین (مانند نویسنده) در هسته وردپرس میتوانند جاوا اسکریپت را اجرا کرده یا حمله XSS ذخیره شده را انجام دهند که میتواند بر کاربران با امتیاز بالا تأثیر بگذارد. ضمن اینکه به دلیل پاکسازی نامناسب در WP_Query، ممکن است مواردی وجود داشته باشد که تزریق SQL از طریق پلاگین ها یا تم ها را امکان پذیر کند.
در حال حاضر هیچ راه حل شناخته شده ای برای این مشکل وجود ندارد و ما قویاً توصیه میکنیم که بهروز رسانی خودکار را فعال نگه دارید.
