אתרים המשתמשים בוורדפרס צריכים להסיר את שני התוספים הללו.

לפי The Hacker News , שני תוספים של וורדפרס, Malware Scanner ו-Web Application Firewall מבית miniOrage, חווים פגיעות אבטחה קריטית, CVE-2024-2172, שהתגלתה על ידי Stiofan, עם ציון חומרה של 9.8 מתוך 10 במערכת ניקוד הפגיעויות CVSS.

לפגיעות הייתה השפעה נרחבת משום שלמרות שהמפתח הסיר אותה מחנות האפליקציות של וורדפרס ב-7 במרץ 2024, היא עדיין עלולה לגרום לבעיות מכיוון שתועד ש-Malware Scanner הותקן ופעיל בעד 10,000 אתרים, בהשוואה ל-300 עבור Web Application Firewall.

Wordfence קבעה כי פגיעות זו נבעה מחוסר בבדיקות בקוד התוסף, מה שאפשר לתוקף לעדכן באופן שרירותי את סיסמת המשתמש ולהעלות הרשאות למנהל ללא אימות, מה שעלול להוביל לפגיעה מוחלטת באתר.

עם הרשאות ניהול, האקרים יכולים להוריד בקלות תוספים נוספים, קבצי zip זדוניים המכילים דלתות אחוריות, ולשנות פוסטים באתר כדי להפנות משתמשים לאתרים זדוניים אחרים.

בעבר, דווח על תוסף דומה בשם RegistrationMagic עם קוד פגיעות CVE-2024-1991 וציון CVSS של 8.8, שהוא גם פגיעות של הסלמת הרשאות בעלת חומרה גבוהה. תוסף זה הורד והותקן גם הוא יותר מ-10,000 פעמים.

וורדפרס היא מערכת ניהול תוכן (CMS) פופולרית בקוד פתוח הנמצאת בשימוש נרחב ברחבי העולם . קלות ההתקנה, העלאת התוכן והניהול שלה הופכות אותה לפלטפורמה אידיאלית עבור סוגים שונים של אתרים, כגון חנויות מקוונות, פורטלים ופורומים לדיון. על פי w3techs , 43.1% מהאתרים ברחבי העולם משתמשים כיום בפלטפורמת CMS זו.