חברת Patchstack גילתה מספר פרצות אבטחה בתוסף הפרימיום של וורדפרס – WooCommerce Amazon Affiliates. תוסף זה שפותח על ידי AA-Team ומתגאה ביותר מ- 35,000 התקנות באתרי וורדפרס, נועד לסייע לבעלי אתרים ובלוגרים לייצר רווח מהאתרים שלהם באמצעות תוכנית השותפים של אמזון. פגיעויות האבטחה שזוהו הינן חמורות ומשפיעות על כל הגרסאות שנבדקו, כולל גרסה 14.0.10 וככל הנראה גם מגירסה 14.0.20 ואילך.
אחת הבעיות הקריטיות היא פגיעות עדכון שרירותית מאומתת של אופציות. פגם זה מאפשר למשתמשים מאומתים לעדכן אפשרויות WP שרירותיות, שעלול להוביל להסלמה של הרשאות. פגיעות זו, שנותרה ללא תיקון, עלולה לאפשר להאקרים להשיג גישה ברמה גבוהה יותר באתר וורדפרס – מה שמציב סיכוני אבטחה משמעותיים. בנוסף, מצא המחקר של Patchstack שני סוגים של פגיעויות של הזרקת SQL: הן הזרקת SQL לא מאומתת והן הזרקת SQL מאומתת. פגיעויות אלו מאפשרות למשתמשים לא מאומתים וגם למשתמשים מאומתים להחדיר שאילתות SQL זדוניות למסד הנתונים של וורדפרס, מה שמוביל לפרצות נתונים או מניפולציה על תכני האתר. חומרת הפגמים הללו מדגישה את הצורך בפעולה מיידית מצד מנהלי אתרים המשתמשים בתוסף זה.
Patchstack המליצה למשתמשים לבטל ולמחוק את התוסף WZone עקב היעדר גרסה מתוקנת.
