یک نفوذ امنیتی بحرانی در افزونه ValvePress Automatic برای وردپرس به هکرها امکان کنترل وبسایتها را میدهد. این آسیبپذیری تزریق اسکریپت SQL بر روی تمام نسخههای قبل از ۳.۹۲.۰ تاثیر میگذارد. هکرها از این طریق میتوانند به وبسایت دسترسی پیدا کرده، حسابهای کاربری مدیر ایجاد کنند، فایلهای مخرب آپلود کرده و به طور بالقوه کنترل کامل وبسایت را به دست بگیرند. این آسیبپذیری در مارس ۲۰۲۴ فاش شد و بیش از ۵.۵ میلیون تلاش برای سوءاستفاده از آن شناسایی شده است.
افشاگری این نفوذ همزمان با کشف باگهای جدی در دیگر افزونهها مانند Email Subscribers و Forminator و User Registration صورت گرفته است. این باگها میتوانند برای سرقت اطلاعات حساس مانند هش رمز عبور از پایگاه داده، آپلود فایلهای دلخواه و اعطای دسترسی مدیر به کاربرانی با سطح تایید اعتبار پایین مورد سوءاستفاده قرار گیرند.
همچنین Patchstack نسبت به یک مشکل برطرفنشده در افزونه Poll Maker هشدار داده است که به مهاجمان احراز هویتشده با سطح دسترسی مشترک یا بالاتر اجازه میدهد تا فایلهای دلخواه را بر روی سرور وبسایت آسیبدیده آپلود کنند که منجر به اجرای کد از راه دور میشود.