محققین نے بتایا ہے کہ ہیکرز عام طور پر استعمال ہونے والے ورڈپریس پلگ ان میں موجود ایک اہم کمزوری کا فائدہ اٹھا رہے ہیں ، جو ممکنہ طور پر انہیں لاکھوں ویب سائٹس کو کنٹرول کرنے کی اجازت دے سکتا ہے۔
کمزوری ، 10 میں سے 8.8 کی شدت کی درجہ بندی کے ساتھ ، ایلیمینیٹر پرو میں موجود ہے ، جو ایک مقبول پلگ ان ہے جو ورڈپریس مواد کے انتظام کے نظام کا استعمال کرنے والی 12 ملین سے زیادہ ویب سائٹوں کے ذریعہ استعمال ہوتا ہے۔
ایلیمینیٹر پرو اعلی معیار کی ویب سائٹس بنانے کے لئے متعدد خصوصیات پیش کرتا ہے ، بشمول ووکامرس ، ورڈپریس کے لئے ایک علیحدہ پلگ ان۔ اگر سائٹ پر صارف اکاؤنٹ سمیت کچھ شرائط کو پورا کیا جاتا ہے تو ، ایک صارف یا گاہک مکمل ایڈمنسٹریٹر استحقاق کے ساتھ نئے اکاؤنٹ بنا سکتا ہے۔
اس کمزوری کا انکشاف نین ٹیک نیٹ کے ایک سکیورٹی ریسرچر جیروم برونڈیٹ نے کیا ہے۔ ایلیمینیٹر نے اس کے بعد ورژن 3.11.7 کے ساتھ خرابی کے لئے ایک پیچ جاری کیا ہے۔ انہوں نے لکھا:
ایک مستند حملہ آور رجسٹریشن کو فعال کرکے اور پہلے سے طے شدہ کردار کو "ایڈمنسٹریٹر" پر سیٹ کرکے ایڈمنسٹریٹر اکاؤنٹ بنانے کے لئے کمزوری کا فائدہ اٹھا سکتا ہے ، ایڈمنسٹریٹر ای میل ایڈریس کو تبدیل کرسکتا ہے یا بہت سے دیگر امکانات کے درمیان تبدیل کرکے تمام ٹریفک کو بیرونی بدنیتی پر مبنی ویب سائٹ پر ری ڈائریکٹ کرسکتا ہے۔
ایک علیحدہ سیکیورٹی فرم پیچ اسٹیک کے محققین نے تصدیق کی ہے کہ اس کمزوری کو فی الحال استحصال کے لئے استعمال کیا جارہا ہے۔