چندین آسیبپذیری موجود در سیستم مدیریت محتوای وردپرس که بیشتر آنها بهعنوان اشکالهای اسکریپتنویسی میانوبگاهی توصیف شدهاند، با انتشار نسخهی ۵٫۴٫۱ وصله شدند. با انتشار این نسخه، در مجموع ۱۷ اشکال و ۷ آسیبپذیری مؤثر بر نسخههای ۵٫۴ و قبل از آن، وصله شدهاند. توسعهدهندگان وردپرس خاطرنشان كردند، تمامی نسخههای جديدتر از ۳٫۷ نيز بهروز شدهاند. به گفتهی محققان، هیچکدام از این آسیبپذیریها به نظر نمیرسد خیلی جدی بوده یا بهرهبرداری از آنها آسان باشد.
یکی از آسیبپذیریها مربوط به عدم بیاعتبارکردن درست توکنهای تنظیم مجدد رمز عبور است. درصورتی که کاربر رمز عبور خود را از حساب خود و بدون استفاده از یک پیوند تغییر دهد، پیوندهای بازنشانی ارسالشده از طریق ایمیل، همچنان معتبر باقی خواهند ماند. بااینحال، برای بهرهبرداری از این آسیبپذیری، مهاجم باید به حساب ایمیل قربانی دسترسی داشته و پیوند بازنشانی رمز عبور همچنان معتبر باشد.
آسیبپذیری دیگر به یک مهاجم غیرمجاز اجازه میدهد تا با ایجاد پرسشهای مبتنیبر تاریخ و زمان، پستهای خصوصی را مشاهده کند. بااینحال، مهاجم باید زمان دقیق پست هدف را بداند.
سایر آسیبپذیریها که بهعنوان اشکالهای اسکریپتنویسی میانوبگاهی توصیف شدهاند، مؤلفههای Customizer، Search Block، Object Cache و بارگذاری فایل را تحت تأثیر قرار میدهند. بااینحال، برای بهرهبرداری از این آسیبپذیریها، مهاجم به احراز هویت یا دسترسی به سیستم هدف نیاز دارد، به این معنی که این اشکالهای امنیتی تنها به هنگام ترکیب با سایر آسیبپذیریها یا حملات (بهعنوان مثال، فیشینگ گواهینامههای کاربر) میتوانند برای مهاجمان مفید باشند.
در نهایت، ویرایشگر بلوک نیز تحت تأثیر یک نقص اسکریپتنویسی میانوبگاهی قرار دارد که میتواند توسط یک مهاجم معتبر مورد بهرهبرداری قرار بگیرد.
به گفتهی توسعهدهندگان وردپرس، آن دسته از وبسایتهای وردپرس که از بهروزرسانیهای خودکار پشتیبانی میکنند، باید درحالحاضر به نسخهی ۵٫۴٫۱ ارتقا یافته باشند. به سایر کاربران نیز توصیه میشوند تا آخرین نسخه را از وبسایت رسمی وردپرس یا از داشبورد خود دانلود کنند.
