Адміністраторам WordPress рекомендується видалити плагіни miniOrange, зокрема Malware Scanner та Web Application Firewall, через виявлення критичного дефекту безпеки. Вразливість, позначена як CVE-2024-2172 із оцінкою 9.8 за шкалою CVSS, була виявлена у версіях Malware Scanner до 4.7.2 та Web Application Firewall до 2.1.1. Розробники оголосили про остаточне закриття цих плагінів 7 березня 2024 року. На момент закриття Malware Scanner нараховував понад 10 000 активних установок, а Web Application Firewall – понад 300.
Згідно зі звітом компанії Wordfence, виявлена вразливість дозволяє неаутентифікованим атакувальникам отримати адміністративні привілеї, оновивши пароль користувача через відсутність перевірки наявності прав у функції mo_wpns_init(). Це може призвести до повного компрометування сайту, оскільки зловмисники здатні завантажувати шкідливі плагіни та теми, а також модифікувати пости та сторінки для перенаправлення користувачів на маліційні сайти або впровадження спам-контенту.
Також було повідомлено про подібний дефект високої небезпеки в плагіні RegistrationMagic, позначеному як CVE-2024-1991 з оцінкою CVSS 8.8, що торкається всіх версій до 5.3.0.0 включно. Ця вразливість, яка дозволяла аутентифікованим користувачам підвищити свій рівень доступу до адміністратора сайту, була усунута 11 березня 2024 року з випуском версії 5.3.1.0. RegistrationMagic використовується на понад 10 000 сайтах, що робить цю вразливість значною загрозою для безпеки WordPress-спільноти.
