זוהו שני פגמי אבטחה חדשים בפלאגין הפופולרי של וורדפרס Simple Membership, המשפיעים על גרסאות 4.3.4 ומטה, מה שמוביל לבעיות פוטנציאליות של הרשאות משתמשים. עם למעלה מ- 50,000 התקנות פעילות, התוסף שפותח על ידי smp7 ו- wp.insider נמצא בשימוש נרחב בקהילת וורדפרס לניהול מותאם אישית של חברוּת. התוסף מאפשר לבעלי אתר וורדפרס להגן על הפוסטים והעמודים שלהם כך שרק חברים יוכלו לצפות בתוכן המוגן. ניתן להגדיר חברות בחינם ו/או בתשלום באתר, כאשר תשלום עבור חברוּת בתשלום מטופל בצורה מאובטחת באמצעות PayPal, אך ניתן לקבל תשלום חברוּת גם באמצעות Stripe או Braintree.
הפגמים שזוהו על ידי חוקרי אבטחה של Patchstack כוללים פגיעות הרשאות בתפקיד לא מאומת ופגיעות השתלטות על חשבון מאומת. בראשון, יכלו משתמשים בלתי מאומתים ליצור חשבונות עם רמות חברוּת שרירותיות, בעוד שהאחרון איפשר למשתמשים מאומתים להשתלט על כל חשבון אחר באתר, באמצעות תהליך איפוס סיסמה בלתי מאובטח. פגיעות הרשאות תפקידים בלתי מאומתים תלויה בעיקר בפונקציה המטפלת בתהליך הרישום: "הפונקציה מטפלת בתהליך איפוס הסיסמה באמצעות תכונת קישור לאיפוס סיסמה. בהקשר הפלאגין, יכול המשתמש לאפשר איפוס סיסמה באמצעות קישור הנשלח לאימייל של המשתמש", כתבו Patchstack בדוח שפרסמו. כמו כן, קיים מצב קריטי כאשר ניתן לתפעל את הפונקציה באמצעות מספר פרמטרים של GET, המאפשרים למשתמשים להירשם עם כל רמת חברוּת מחשבון אחר. בפגיעות השתלטות על חשבון מאומת, מטפלת פונקציה נפרדת באיפוס סיסמה באמצעות קישור. על ידי יצירה קפדנית של הפרמטרים, יכול האקר לנצל את הפגיעות הזו כדי להשתלט על חשבון המשתמש.
לפי הדוח של Patchstack, הגיב יצרן הפלאגין במהירות לאחר ש- Patchstack דיווחו על הפגיעות ב- 29 באוגוסט: "עבור הפגיעות הראשונה החליט היצרן לבדוק אם שאילתת SQL לעדכון פרטי החבר באמצעות פרמטר הקוד הינה חוקית. ערך הקוד הזה יכול להתקבל רק על ידי משתמשים שכבר השלימו את התשלום או שהתהליך שלהם ברמת חברוּת הינו בתשלום"; "עבור הפגיעות השנייה החליט היצרן להתאים את פרמטר הכניסה המשמש לבדיקת מפתח איפוס הסיסמה לבין אובייקט המשתמש בפועל במשתנה $user_data". יצרן הפלאגין פרסם את גרסה 4.3.5 ב- 30 באוגוסט 2023 כדי לתקן בעיות אלו, תוך הטמעת בדיקות לאימות פרמטרים הנשלטים על ידי המשתמש בתהליכי רישום ואיפוס סיסמה מותאמים אישית.
