آسیب پذیری جدیدی در افزونه وردپرس با نام Login/Signup Popup (Inline Form + Woocommerce) کشف شده است که اجازه میدهد کاربرانی با دسترسی اشتراکگذار شده و بالاتر بتوانند تنظیمات دلخواه سایت را تغییر دهند. این آسیبپذیری در نسخههای 2.7.1 و 2.7.2 یافت شده و با رتبهی خطر 8.8 (بالا) نمرهبندی شدهاست.
پیشزمینهی فنی بررسی کد افزونه نشان میدهد که تابع import_settings در کلاس Xoo_Admin برای وارد کردن تنظیمات مدیریت افزونه استفاده میشود، اما چکهای لازم برای تواناییها (capacities) و nonce در این تابع وجود ندارد. این بدان معنا است که هر کاربری با دسترسی کاربر عضو میتواند به راحتی از طریق یک تابع AJAX تنظیمات سایت را تغییر دهد.
اطلاعات رسمی توسط موسسه Wordfence در تاریخ 17 مه 2024 به دست آمده و در 28 مه راهکاری برای جلوگیری از سوءاستفاده از این آسیبپذیری ارائه شده است. اما کاربران نسخه رایگان Wordfence تا 30 روز بعد (27 ژوئن) محافظت مشابهی دریافت خواهند کرد. توصیه میشود تا کاربران سریعاً افزونه را به نسخه 2.7.3 بروزرسانی کنند تا از این آسیبپذیری در امان باشند.
تیم توسعهدهندهی XootiX به سرعت به این موضوع واکنش نشان داد و پچ مربوطه را در تاریخ 28 مه منتشر کردند.