دو آسیبپذیری جدید با عناوین CVE-2022-0513 و CVE-2021-4134 در پلاگین های WordPress مشاهده شده است که امکان حمله SQL Injection را برای مهاجم فراهم میکنند.
افزونه WP Statistics WordPress به دلیل فرار و پارامترسازی ناکافی در پارامتر exclusion_reason موجود در فایل ~/includes/class-wp-statistics-exclusion.php در مقابل SQL Injection آسیب پذیر است که به مهاجمان بدون احراز هویت اجازه می دهد تا به صورت دلخواه، کوئری های حساس SQL را دریافت کنند. این مشکل در نسخه های قبل از ورژن 13.1.4مشاهده شده است.
افزونه وردپرس Fancy Product Designer نیز به دلیل فرار و پارامترسازی ناکافی پارامتر ID موجود در فایل ~/inc/api/class-view.php در مقابل SQL Injection آسیب پذیر است که به مهاجمان با مجوزهای سطح مدیریتی اجازه می دهد تا درخواست های SQL دلخواه را برای به دست آوردن اطلاعات حساس، در نسخه های قبل از 4.7.4، تزریق کنند.
اگر از این دو افزونه استفاده میکنید به سرعت آنها را به روز رسانی نمایید تا از مشکلات تزریق SQL در امان باشید.
