یکی از مرسومترین پلاگینها جهت بررسی آمار سایت (نمایش تعداد کاربران آنلاین در سایت به صورت لحظهای، گزارش آمار بازدید کلی سایت، نمایش آمار بازدیدکنندگان سایت، امکان ایجاد محدودیت برای شمارش یا عدم شمارش صفحات خاص در گزارشات و ... ) در سیستم مدیریت محتوای WordPress ، پلاگین WS-Statistics است. نسخههای قبل از 13.1.4 این پلاگین یک #آسیبپذیری با شدت بالا (7.5 از 10) در NVD و شدت بحرانی (9.8 از 10) در Wordfence دارند.منشاء این آسیبپذیری آرگومان exclusion_reason در مسیر ~/includes/class-wp-statistics-exclusion.php است که منجر به آسیبپذیری SQL Injection میشود. مهاجم زمانی میتواند از این آسیبپذیری بهرهبرداری کند که گزینه "Record Exclusions" در سایت آسیبپذیر فعال باشد.
برای رفع این آسیبپذیری لازم است که این پلاگین در سیستم مدیریت محتوای WordPress به نسخههای بعد از 13.1.4 ارتقاء یابد.
- 94