چندین آسیبپذیری جدید در وردپرس مشاهده شده که اگر از کاربران آن هستید پیشنهاد میکنیم حتما این مطلب را مطالعه نمایید.
آسیبپذیری هایی از جمله CVE-۲۰۲۱-۲۴۹۱۵ و CVE-۲۰۲۱-۲۴۷۴۸ در پلاگینهای WordPress امکان حمله SQL Injection، XSS، CSRF و … را برای مهاجم فراهم میکنند. این هشدار امنیتی که در سایت افتا منتشر شده در ادامه میگوید: افزونه وردپرس Contest Gallery قبل از 13.1.0.6 قابلیت بررسی ندارد و پارامتر cg-search-user-name-original را قبل از استفاده از آن در بیانیه SQL هنگام ارسال کاربران از یک گالری پاکسازی نمی کند. یعنی فرد خرابکار میتواند حملات تزریق SQL را انجام داده و همچنین لیست تمام کاربران ثبت شده در وبلاگ، از جمله نام کاربری و آدرس ایمیل آنها را دریافت کند.
افزونه ایمیل قبل از نسخه 6.8 به درستی اعتبارسنجی نمی کند و از پارامترهای ترتیب و دستور GET قبل از استفاده در دستورات SQL فرار میکند که منجر به مشکلات تزریق SQL تأیید شده میشود. افزونه myCred WordPress نیز قبل از استفاده از آن در یک دستور SQL، پارامتر فیلدها را اعتبارسنجی نمی کند، که منجر به یک تزریق SQL می شود وتوسط هر کاربر احراز هویت شده قابل سوء استفاده است.
ضمن اینکه افزونه Ninja Forms Contact Form WordPress قبل از ورژن 3.6.4 از کلیدهای پارامتر POST فیلدها پشتیبانی نمیکند، که می تواند به کاربران با امتیاز بالا اجازه انجام حملات تزریق SQL را بدهد.
بر اساس توضیه اعلام شده برای حل مشکلات مطرح شده، افزونه های خود را به روز رسانی نمایید
