آسیبپذیری اخیراً وصلهشده در افزونهی WP Product Review Lite برای وردپرس، میتواند توسط مهاجمان غیرمجاز برای نفوذ به وبسایتها مورد بهرهبرداری قرار بگیرد. افزونهی WP Product Review Lite که برای بررسی و نظرسنجی محصولات در وبسایتهای وردپرس طراحی شده است، از ایجاد یک ویجت برای بررسی محصولات برتر پشتیبانی کرده و همچنین، با اضافهکردن گزینهی «اکنون بخرید» در پستها، امکان افزایش کسب درآمد را فراهم میکند. این افزونه بیش از ۴۰هزار مرتبه نصب شده است.
اخیراً، تیم توسعهدهندهی این افزونه از وصلهی یک آسیبپذیری اسکریپتنویسی میانوبگاهی خبر دادند که میتواند برای تزریق کد به تمامی صفحات محصول وبسایت مورد بهرهبرداری قرار بگیرد. به گفتهی محققان امنیتی، اگرچه تمامی دادههای ورودی کاربر sanitized هستند، بااینحال، اگر مهاجم پارامتری را درون یک خصوصیت HTML تنظیم کند، میتواند یکی از توابع مورد استفاده در وردپرس را دور بزند.
این حمله میتواند بدون احراز هویت انجام شود، به این معنی که مهاجم میتواند حملات را بهصورت خودکار انجام دهد. این موضوع باعث میشود تا حمله به تعداد زیادی از وبسایتهای آسیبپذیر برای مجرمان سایبری آسانتر شوند. همچنین، تعداد بالای نصبهای فعال، سهولت بهرهبرداری و حملهی موفقیتآمیز از طریق این آسیبپذیری را افزایش میدهد.
درحالحاضر، این آسیبپذیری با انتشار نسخهی ۳٫۷٫۶ افزونهی WP Product Review Lite وصله شده است. درحالیکه هنوز هیچگونه بهرهبرداری فعالی برای این آسیبپذیری مشاهده نشده است، اما محققان امنیتی ارتقای وبسایتها به نسخهی وصلهشده را به مدیران توصیه میکنند، زیرا نسخههای قدیمی این افزونه در برابر حملات و خطرات احتمالی آسیبپذیر هستند.