ตามรายงานของ The Hacker New ปลั๊กอิน WordPress 2 ตัว ได้แก่ Malware Scanner และ Web Application Firewall โดย miniOrage มีช่องโหว่ด้านความปลอดภัยที่ร้ายแรง CVE-2024-2172 ซึ่งค้นพบโดย Stiofan โดยมีคะแนนความรุนแรง 9.8 จากระบบคะแนนความเสี่ยงด้านความปลอดภัย CVSS จำนวน 10 คะแนน

ข้อบกพร่องดังกล่าวส่งผลกระทบเป็นวงกว้าง เพราะแม้ว่านักพัฒนาซอฟต์แวร์จะลบออกจากร้านแอป WordPress เมื่อวันที่ 7 มีนาคม 2024 แต่ก็ยังมีผลกระทบได้ เนื่องจากมีการบันทึกว่า Malware Scanner ได้รับการติดตั้งและใช้งานบนเว็บไซต์มากถึง 10,000 เว็บไซต์ ในขณะที่ Web Application Firewall พบว่ามีการติดตั้งและใช้งานอยู่เพียง 300 เว็บไซต์

Wordfence กล่าวว่าช่องโหว่ดังกล่าวเป็นผลมาจากการขาดการตรวจสอบในโค้ดของปลั๊กอิน ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสามารถอัปเดตข้อมูลรหัสผ่านของผู้ใช้และยกระดับสิทธิ์ให้กับผู้ดูแลระบบโดยสุ่ม ซึ่งอาจนำไปสู่การประนีประนอมของเว็บไซต์ได้อย่างสมบูรณ์

ด้วยสิทธิ์การดูแลระบบ แฮกเกอร์สามารถดาวน์โหลดปลั๊กอินเพิ่มเติม ไฟล์ zip ที่เป็นอันตรายซึ่งมีแบ็กดอร์ และแก้ไขโพสต์บนเว็บไซต์เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายอื่นๆ ได้อย่างง่ายดาย

ก่อนหน้านี้ ปลั๊กอินที่มีลักษณะคล้ายกันชื่อ RegistrationMagic ได้รับรายงานว่ามีรหัสข้อบกพร่อง CVE-2024-1991 และคะแนน CVSS 8.8 ซึ่งถือเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูงด้วย ปลั๊กอินนี้ยังได้รับการดาวน์โหลดและติดตั้งมากกว่า 10,000 ครั้ง

WordPress เป็นระบบจัดการเนื้อหาโอเพ่นซอร์ส (CMS) ยอดนิยมที่ใช้กันอย่างแพร่หลายทั่วโลก ความสะดวกในการติดตั้ง อัปโหลด และจัดการเนื้อหาบนแพลตฟอร์ม CMS นี้ทำให้ WordPress กลายเป็นแพลตฟอร์มที่เหมาะสำหรับเว็บไซต์ เช่น ร้านค้าออนไลน์ พอร์ทัล ฟอรัมสนทนา... ตามรายงานของ w3techs แพลตฟอร์ม CMS นี้ได้รับการเลือกใช้โดยเว็บไซต์ทั่วโลกถึง 43.1%