وفقًا لموقع The Hacker New ، فإن مكونين إضافيين لبرنامج WordPress، Malware Scanner وWeb Application Firewall من miniOrage، معرضان لخلل أمني خطير، CVE-2024-2172، اكتشفه Stiofan، بدرجة خطورة تبلغ 9.8 على مقياس من 10 نقاط لنظام تسجيل نقاط الضعف الأمنية CVSS.

كان للخطأ تأثير واسع النطاق لأنه على الرغم من أن المطور قام بإزالته من متجر تطبيقات WordPress في 7 مارس 2024، إلا أنه لا يزال بإمكانه التأثير لأنه تم تسجيل Malware Scanner على أنه مثبت ونشط على ما يصل إلى 10000 موقع ويب، بينما مع Web Application Firewall يبلغ عددهم 300.

وقالت شركة Wordfence إن الثغرة الأمنية كانت نتيجة فحص مفقود في كود البرنامج الإضافي، مما يسمح لمهاجم غير موثوق بتحديث كلمة مرور أي مستخدم بشكل تعسفي وتصعيد الامتيازات إلى المسؤول، مما قد يؤدي إلى اختراق كامل للموقع.

باستخدام الحقوق الإدارية، يمكن للمتسللين بسهولة تنزيل مكونات إضافية وملفات مضغوطة ضارة تحتوي على أبواب خلفية وتعديل منشورات موقع الويب لإعادة توجيه المستخدمين إلى مواقع ويب ضارة أخرى.

في السابق، تم الإبلاغ عن مكون إضافي مشابه، RegistrationMagic، مع رمز الخطأ CVE-2024-1991 ودرجة CVSS 8.8، وهي أيضًا ثغرة أمنية عالية الخطورة تتعلق بتصعيد الامتيازات. لقد تم أيضًا تنزيل هذا المكون الإضافي وتثبيته أكثر من 10000 مرة.

WordPress هو نظام إدارة محتوى (CMS) مفتوح المصدر شائع الاستخدام في جميع أنحاء العالم. إن سهولة التثبيت والتحميل وإدارة المحتوى على منصة CMS هذه تجعل WordPress منصة مثالية لمواقع الويب مثل المتاجر عبر الإنترنت والبوابات والمنتديات المناقشة... وفقًا لـ w3techs ، يتم اختيار منصة CMS هذه حاليًا من قبل 43.1٪ من مواقع الويب في العالم.