هشدار در خصوص آسیب‌پذیری‌های موجود در وردپرس

/در , , , /توسط
سرت ایران: نسخه 5.8.1 وردپرس حاوی وصله‌هایی به منظور به‌روزرسانی چندین #‫آسیب‌پذیری امنیتی در نسخه‌های 5.4 تا 5.8 وردپرس است. مهاجم می‌تواند از این آسیب‌پذیری‌ها جهت کنترل وب‌سایت آسیب‌دیده بهره‌برداری کند.
 
به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سایت‌های وردپرسی آسیب‌پذیر اقدام شود.
وردپرس 5.8.1 یک نسخه امنیتی موقت است و نسخه اصلی بعدی 5.9 خواهد بود. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. اعمال به‌روزرسانی‌ها به‌صورت زیر انجام می‌پذیرد:
 
مراجعه به سایت WordPress.org و بارگیری فایل به‌روزرسانی استفاده از مسیر Dashboard → Updates در پیشخوان سایت وردپرسی و انتخاب گزینه Update Now
مراجع: 
 
https://us-cert.cisa.gov/ncas/current-activity/2021/09/10/wordpress-releases-security-update
https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/
https://www.securityweek.com/wordpress-581-patches-several-vulnerabilities?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+securityweek+%28SecurityWeek+RSS+Feed%29

وردپرس ۵.۸.۱ منتشر شد: رفع چندین باگ و سه آسیب‌پذیری امنیتی

/در , , , , , , , /توسط
 
وردپرس به‌تازگی از آپدیت جدیدی رونمایی کرده که به حفظ این سیستم مدیریت محتوا کمک می‌کند و سه مشکل امنیتی نسخه‌های ۵.۴ تا ۵.۸ را برطرف می‌سازد. این نسخه همچنین شامل ۴۱ رفع باگ در بخش هسته و ۲۰ رفع باگ در ادیتور بلاک است.
 
وردپرس ۵.۸.۱ امروز منتشر شده و برای عموم کاربران در دسترس قرار گرفته است. این نسخه مشکل آسیب‌پذیری REST API، آسیب‌پذیری XSS در ادیتور گوتنبرگ و چند آسیب‌پذیری خطرناک دیگر در کتابخانه Lodash JavaScript را برطرف می‌کند.
 
آپدیت جدید وردپرس با مدیریت دو کارمند این شرکت به نام‌های «جاناتان دسروسیرز» و «ایوان مولینز» توسعه یافته است. این دو نفر در پستی در وبلاگ وردپرس از همه کسانی تشکر کرده‌اند که آسیب‌پذیری‌ها را در دوره بتای ۵.۸ گزارش کرده بودند. این گزارش‌ها به تیم امنیتی وردپرس اجازه داد تا پیش از افشای آن‌ها در سطح اینترنت فرصت رفع باگ را داشته باشند.
 
برای درک سه مشکل امنیتی اصلی وردپرس که در این نسخه برطرف شده باید توضیحاتی ارائه کنیم. REST API یک رابط برنامه‌نویسی است که مطابقت با سبک معماری REST را ایجاد می‌کند و به خدمات وب RESTful اجازه تعامل می‌دهد. اسکریپت‌نویسی میان-سایتی (XSS) نوعی آسیب‌پذیری امنیتی وب است که به مهاجم اجازه می‌دهد تعاملات کاربر با اپلیکیشن‌های آسیب‌پذیر را در معرض خطر قرار دهد.
 
کتابخانه Lodash هم در تمامی انشعاب‌ها به نسخه ۴.۱۷.۲۱ به‌روز شده تا اصلاحات امنیتی بالادستی را دربر بگیرد. وردپرس با این آپدیت، امنیت و پایداری نرم‌افزار خود را ارتقا داده و به کاربران حقیقی و حقوقی کمک می‌کند تا تجربه بهتری از این سیستم مدیریت محتوا داشته باشند.
 
بر اساس گزارشی که سال گذشته منتشر شد، محبوبیت وردپرس همچنان در حال رشد است و داده‌های W3Techs نشان می‌دهد که ۴۰ درصد سایت‌های دنیا از این سیستم مدیریت محتوا استفاده می‌کنند. ایران پس از آفریقای جنوبی در رتبه دوم بیشترین استفاده از وردپرس قرار داشت.

وردپرس ۵.۸.۱ منتشر شد: رفع چندین باگ و سه آسیب‌پذیری امنیتی

/در , , , , , , , /توسط
 
وردپرس به‌تازگی از آپدیت جدیدی رونمایی کرده که به حفظ این سیستم مدیریت محتوا کمک می‌کند و سه مشکل امنیتی نسخه‌های ۵.۴ تا ۵.۸ را برطرف می‌سازد. این نسخه همچنین شامل ۴۱ رفع باگ در بخش هسته و ۲۰ رفع باگ در ادیتور بلاک است.
 
وردپرس ۵.۸.۱ امروز منتشر شده و برای عموم کاربران در دسترس قرار گرفته است. این نسخه مشکل آسیب‌پذیری REST API، آسیب‌پذیری XSS در ادیتور گوتنبرگ و چند آسیب‌پذیری خطرناک دیگر در کتابخانه Lodash JavaScript را برطرف می‌کند.
 
آپدیت جدید وردپرس با مدیریت دو کارمند این شرکت به نام‌های «جاناتان دسروسیرز» و «ایوان مولینز» توسعه یافته است. این دو نفر در پستی در وبلاگ وردپرس از همه کسانی تشکر کرده‌اند که آسیب‌پذیری‌ها را در دوره بتای ۵.۸ گزارش کرده بودند. این گزارش‌ها به تیم امنیتی وردپرس اجازه داد تا پیش از افشای آن‌ها در سطح اینترنت فرصت رفع باگ را داشته باشند.
 
برای درک سه مشکل امنیتی اصلی وردپرس که در این نسخه برطرف شده باید توضیحاتی ارائه کنیم. REST API یک رابط برنامه‌نویسی است که مطابقت با سبک معماری REST را ایجاد می‌کند و به خدمات وب RESTful اجازه تعامل می‌دهد. اسکریپت‌نویسی میان-سایتی (XSS) نوعی آسیب‌پذیری امنیتی وب است که به مهاجم اجازه می‌دهد تعاملات کاربر با اپلیکیشن‌های آسیب‌پذیر را در معرض خطر قرار دهد.
 
کتابخانه Lodash هم در تمامی انشعاب‌ها به نسخه ۴.۱۷.۲۱ به‌روز شده تا اصلاحات امنیتی بالادستی را دربر بگیرد. وردپرس با این آپدیت، امنیت و پایداری نرم‌افزار خود را ارتقا داده و به کاربران حقیقی و حقوقی کمک می‌کند تا تجربه بهتری از این سیستم مدیریت محتوا داشته باشند.
 
بر اساس گزارشی که سال گذشته منتشر شد، محبوبیت وردپرس همچنان در حال رشد است و داده‌های W3Techs نشان می‌دهد که ۴۰ درصد سایت‌های دنیا از این سیستم مدیریت محتوا استفاده می‌کنند. ایران پس از آفریقای جنوبی در رتبه دوم بیشترین استفاده از وردپرس قرار داشت.

وردپرس بطور خودکار فناوری FLoC گوگل را غیرفعال می‌کند

/در , , , , /توسط
 
انتقادات علیه فناوری جایگزین کوکی‌های شخص ثالث گوگل موسوم به FLoC همچنان ادامه دارد و وردپرس هم تهدید کرده که آن را به عنوان تهدید امنیتی شناسایی خواهد کرد. این شرکت می‌گوید حدود ۴۰ درصد از وب‌سایت‌های اینترنتی را کنترل می‌کند و موظف به حفاظت از کاربران است.
 
وردپرس در بیانیه خود می‌گوید کاربرانی که خواستار استفاده از فناوری «یادگیری پراکنده‌ هم‌پایه» (FLoC) گوگل هستند می‌توانند به‌صورت دستی این قابلیت را فعال کنند. ولی این شرکت به‌زودی در آپدیت نسخه ۵.۸ چند خط کد را به سیستم مدیریت محتوای خود اضافه می‌کند تا قابلیت FLoC به‌صورت خودکار روی سایت‌ها غیرفعال شود.
 
نسخه ۵.۸ قرار است در ماه ژوئیه (تیر یا مرداد) منتشر شود. ولی چون گوگل می‌خواهد این قابلیت را زودتر از ماه ژوئیه عرضه کند، وردپرس در نظر دارد تا تغییرش را از طریق فرآیند پیش‌انتقال (Back-porting) در اختیار نسخه‌های قدیمی پلتفرم خود قرار دهد.
 
فناوری FLoC در چند وقت اخیر عمدتا به خاطر نحوه اشتراک‌گذاری خلاصه‌ای از فعالیت‌های کاربر با سیستم‌های بازاریابی مورد انتقاد قرار گرفته. کوکی‌های شخص ثالث که در برنامه گوگل باید جای خود را به FLoC بدهند هم می‌توانستند برای اشتراک‌گذاری سوابق افراد تلاش کنند ولی هیچ تضمینی وجود نداشت که قادر به انجام چنین کاری باشند.
 
شرکت «ویوالدی» هفته پیش در بیانیه‌ای نوشت: «در گذشته، شرکت‌های تبلیغاتی فقط می‌توانستند در جایی که تبلیغات آن‌ها حضور داشت جنبه‌های خصوصی شخصیت شما را ببینند. یک سرویس تبلیغاتی که فقط در ۱۰۰۰ سایت وجود داشت صرفا ممکن بود شما را در یک یا دو سایت ببیند، بنابراین نمی‌توانست آن‌قدرها ردیابی‌تان کند. ولی FLoC این قضیه را بطور کامل عوض می‌کند. هسته مرکزی طراحی این فناوری حول محور اشتراک‌گذاری اطلاعات با سرویس‌های بازاریابی است.»
 
ویوالدی می‌گوید: «حالا همه سایت‌ها به یک آیدی دسترسی خواهند داشت که از رفتار شما در تمامی سایت‌ها ساخته شده است. وب‌سایت‌هایی که فقط تبلیغات مفهومی دارند یا اصلا تبلیغی ندارند هم ممکن است در این روش استفاده شوند. پیش از این احتمال داشت از سایتی بازدید کنید که موضوع آن مربوط به علایق شخصی شماست و ممکن بود تبلیغات FLoC داشته باشد یا نداشته باشد، ولی حالا همه سایت‌ها به آیدی FLoC شما دسترسی پیدا می‌کنند، یعنی می‌دانند که از چه نوع سایت‌هایی دیدن کرده‌اید.»
 
«بنیاد مرزهای الکترونیکی» (EFF) و موتور جستجوی DuckDuckGo نیز انتقاد و مخالفت خود را با FLoC اعلام کرده‌اند.

بیش از یک میلیون سایت وردپرسی هدف حمله سایبری قرار گرفتند

/در , , , , /توسط
 
 
 
صدها هزار سایت وردپرسی بیش از  ۲۴ ساعت مورد حملات سایبری گسترده‌ای قرار گرفتند که هدف از آن‌ها، دسترسی به اعتبارنامه‌های دیتابیس بوده است.
 
مهاجمان در تلاش بودند تا فایل‌های پیکربندی «wp-config.php» را از وب‌سایت‌های وردپرس دانلود کنند. این فایل‌ها شامل اطلاعات مهمی مانند اعتبارنامه‌های دیتابیس، اطلاعات اتصال و احراز هویت کلیدهای منحصر به فرد می‌شود.
 
این افراد تلاش کردند از آسیب‌پذیری‌های «تزریق اسکریپت از طریق وبگاه» یا «XSS» در پلاگین‌ها و تم‌های وردپرس نصب شده روی وب‌سایت‌های کاربران، با هدف دسترسی به اعتبارنامه‌های آن‌ها استفاده کنند. هدف نهایی این حملات، کنترل کامل وب‌سایت توسط مهاجمان بوده است.
 
یکی از مهندسان و تحلیلگران تهدیدات سایبری، «رام گال» درباره این حملات اعلام کرده:
 
«در فاصله ۹ خرداد تا ۱۱ خرداد، فایروال Wordfence بیش از ۱۳۰ میلیون حمله سایبری با هدف دسترسی به اعتبارنامه‌های دیتابیس ۱.۳ میلیون وب‌سایت با استفاده از فایل‌های پیکربندی را مسدود کرد. در تاریخ ۱۰ خرداد بیشترین حملات از سوی مهاجمان صورت گرفت که شامل ۷۵ درصد تمام حملات به آسیب‌پذیری‌های پلاگین و تم در اکوسیستم وردپرس بود.»
 
محققان امنیتی در Wordfence توانستند با تحلیل ۲۰ هزار آدرس آی‌پی مختلف، حملات اخیر را به کمپینی که حملات گسترده‌ای در تاریخ ۹ اردیبهشت صورت داده بود، ارتباط دهند. در کمپین قبلی، مهاجمان سعی داشتند در وب‌سایت‌ها «در پشتی» قرار دهند یا کاربران را به سمت وب‌سایت‌های شامل تبلیغات مخرب هدایت کنند.
 
برای اینکار نیز از آسیب‌پذیری‌های XSS در پلاگین‌ها استفاده شد و اگرچه برای این پلاگین‌ها پچ امنیتی عرضه شده بود، اما همچنان صاحبان وب‌سایت‌ها آن‌ها را بروزرسانی نکرده بودند.
 
با توجه به این موارد، مدیران وب‌سایت‌ها برای جلوگیری از حملات سایبری باید پلاگین‌ها و تم‌های نصب شده روی وب‌سایت وردپرسی خود را همیشه بروز نگه دارند و جدیدترین بروزرسانی منتشر شده برای آن‌ها را دانلود کنند. علاوه بر این، باید تم‌ها و پلاگین‌های قدیمی که دیگر بروزرسانی دریافت نمی‌کنند را نیز از وب‌سایت خود حذف کنند.

تهدید افزونه نرم‌افزاری برای ۸۰ هزار سایت مبتنی بر WordPress

/در , , , /توسط
یکی از افزونه‌های نرم‌ افزاری پلتفرم WordPress حاوی نقص‌های امنیتی است که «به راحتی قابل سوءاستفاده» هستند و می‌توانند دسترسی کامل به سایت‌های اینترنتی آسیب پذیر را فراهم کنند.
این افزونه نرم افزاری که در قلب پلتفرم مذکور موسوم به WP Database Reset فعالیت می‌کند و برای تنظیم مجدد پایگاه داده به کار گرفته می‌شود، به طور کامل یا بر اساس جداول خاص بدون نیاز به طی مراحل نصب WordPress می‌توانند اهداف خود را محقق کند.
به گفته کتابخانه داده WordPress، این افزونه نرم افزاری هم اکنون روی بیش از ۸۰ هزار سایت اینترنتی مورد استفاده قرار می‌گیرد که تمامی آنها را تهدید می‌کند.
شرکت امنیتی Wordfence روز گذشته اعلام کرد دو سرور آسیب پذیر که این خطرات را توسعه می‌دهند در تاریخ ۷ ژانویه شناسایی کرده است. به گفته «کلوئه چمبرلند» مذیر شرکت امنیتی، هر یک از این آسیب پذیری‌ها می‌توانند فرآیند تنظیم مجدد یک سایت اینترنتی را در دست بگیرند.
اختلال نرم افزاری جدید با عنوان CVE-2020-7048 شناخته می‌شود و به عنوان نخستین نقص امنیتی CVSS محسوب می‌شود که در رده‌بندی میزان خطرآفرینی امتیاز ۹٫۱ را به خود اختصاص داده است. از آنجایی که هیچ یک از توابع تنظیم مجدد سایت‌های اینترنتی از این طریق ایمن نیستند، افزونه مذکور امکان تنظیم جداول و بخش‌های مختلف سایت بدون احراز هویت را فراهم می‌کند.

سواستفاده از وردپرس برای حمله به سایت ها

/در , , , , /توسط
آسیب پذیری یکی از پلاگین های وردپرس موجب شده تا هکرها از آن برای نفوذ به وب سایت ها استفاده کنند.
 
 
 
 
 به نقل از زددی نت، کارشناسان امنیتی می گویند یک پلاگین به راحتی نفوذپذیر را در پلتفورم وردپرس یافته اند که از طریق آن می توان سایت های مختلفی را تسخیر کرد.
 
 
پلاگین یادشده دبلیو پی دیتابیس ریست نام دارد و برای بازتنظیم پایگاه های داده به کار می رود. از طریق این پلاگین می توان پایگاه های داده را به طور کامل یا نسبی بازتنظیم کرد؛ بدون آنکه نیازی به بازنصب کامل وردپرس باشد.
 
پلاگین یادشده در بیش از 80 هزار وب سایت مورد استفاده قرار گرفته و لذا امکان حمله هکری به همه آنها وجود دارد. اولین بار شرکت امنیتی وردفنس از آسیب پذیری این پلاگین مطلع شد. این شرکت هشدار داد که آسیب پذیری یادشده برای بازتنظیم کامل یا جزئی وب سایت ها قابل استفاده است.
 
هکرها از این طریق می توانند به پست ها، صفحات، نظرات، کاربران، محتوای ارسالی و غیره در عرض چند ثانیه دسترسی یابند. وردپرس هنوز در این زمینه واکنشی از خود نشان نداده است.
 

سواستفاده از وردپرس برای حمله به سایت ها

/در , , , , /توسط
آسیب پذیری یکی از پلاگین های وردپرس موجب شده تا هکرها از آن برای نفوذ به وب سایت ها استفاده کنند.
 
 
 
 
 به نقل از زددی نت، کارشناسان امنیتی می گویند یک پلاگین به راحتی نفوذپذیر را در پلتفورم وردپرس یافته اند که از طریق آن می توان سایت های مختلفی را تسخیر کرد.
 
 
پلاگین یادشده دبلیو پی دیتابیس ریست نام دارد و برای بازتنظیم پایگاه های داده به کار می رود. از طریق این پلاگین می توان پایگاه های داده را به طور کامل یا نسبی بازتنظیم کرد؛ بدون آنکه نیازی به بازنصب کامل وردپرس باشد.
 
پلاگین یادشده در بیش از 80 هزار وب سایت مورد استفاده قرار گرفته و لذا امکان حمله هکری به همه آنها وجود دارد. اولین بار شرکت امنیتی وردفنس از آسیب پذیری این پلاگین مطلع شد. این شرکت هشدار داد که آسیب پذیری یادشده برای بازتنظیم کامل یا جزئی وب سایت ها قابل استفاده است.
 
هکرها از این طریق می توانند به پست ها، صفحات، نظرات، کاربران، محتوای ارسالی و غیره در عرض چند ثانیه دسترسی یابند. وردپرس هنوز در این زمینه واکنشی از خود نشان نداده است.
 

کشف آسیب پذیری در سیستم مدیریت محتوای وردپرس

/در , , , , , /توسط
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از کشف آسیب پذیری در سیستم مدیریت محتوای سایت وردپرس ( Wordpress) خبر داد.
 
 وردپرس نرم‌افزاری تحت وب است که از آن برای ساختن سرویس وبلاگ دهی و وبسایت استفاده می شود.
 
مرکز ماهر با اعلام کشف آسیب پذیری جدید در این نرم افزار، اعلام کرد: آسیب پذیری جدید کشف شده در سیستم مدیریت محتوای Wordpress از نوع information disclosure به شماره CWE-۲۰۰ است که به نفوذگر امکان دسترسی به نام و نام کاربری عضو وب سایت را می دهد.
 
کلیه نسخ پایین تر از Wordpress ۵.۳ دارای این آسیب ­پذیری هستند و تاکنون اطلاعاتی در مورد شماره CVE این آسیب پذیری منتشر نشده است.
 
در صورت بهره ­برداری از آسیب­ پذیری مذکور، نفوذگر قادر است اطلاعات بیشتری در مورد وب­سایت هدف به‌دست آورد که می تواند در حملات دیگر مانند Bruteforce نیز تاثیرگذار باشد.
 
روش پیش­گیری از نشت این اطلاعات، به روزرسانی نسخه Wordpress به نسخه های بالاتر از ۵.۳ است.

رفع نقص XSS در WORDPRESS

/در , , , , /توسط
تجزیه و تحلیل محققان خبر از وجود یک #‫آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stored Cross-Site Scripting) در WordPress می‌دهد که می‌تواند منجر به اجرای کد راه‌دور drive-by شود.
حمله‌ی drive-by زمانی رخ می‌دهد که دشمن از طریق ملاقات کاربر از مرورگر وب طی یک جستجوی نرمال، به سیستم دسترسی یابد.
این آسیب‌پذیری که با شناسه‌ی CVE-2019-16219 ردیابی می‌شود، در ویرایشگر داخلی Gutenburg که در نسخه‌های WordPress 5.0 و بالاتر وجود دارد، یافت شده است. به گفته‌ی Zhouyuan Yang در آزمایشگاه Forti Gaurd، در صورت وجود یک پیغام خطای “Shortcode”، Gutenburg نمی‌تواند کد JavaScript/HTML یک پست را فیلتر کند.
Shortcodeها میانبرهای ضروری هستند که کاربران WordPress می‌توانند به‌منظور تعبیه‌کردن فایل‌ها یا ساخت اشیایی که به صورت نرمال نیاز به کد پیچیده‌تری برای انجام دادن دارند، به کار گیرند. بلوک‌های Shortcode می‌توانند با کلیک بر روی گزینه‌ی “Add Block button” درون ویرایشگر Gutenburg، به یک صفحه اضافه شوند.
با این حال، با اضافه‌کردن برخی کاراکترهای رمزگذاری‌شده‌ی HTML (مانند ‘<’) به خود بلوک Shortcode و سپس بازکردن دوباره‌ی پست، کاربران یک پیغام خطایی دریافت خواهند کرد.
Wordpress پست را با رمزگشایی ‘<’ به ‘<”,”’ به نمایش می‌گذارد. فیلتر XSS در این پیش‌نمایش می‌تواند به‌راحتی با اضافه‌کردن کد اثبات مفهوم ‘>img src=1 onerror-prompt(1)>.’ به پست، دور زده شود. از آن پس، هر بازدیدکننده‌‌‌ی سایت که این پست را مشاهده می‌کند، کد XSS در مرورگرش اجرا خواهد شد.
این امر به یک مهاجم راه‌دور با مجوز «مشارکت‌کننده» (contributor) یا بالاتر اجازه می‌دهد کد دلخواه JavaScript/HTML را در مرورگر قربانیانی که به صفحه وب آسیب‌پذیر دسترسی دارند، اجرا کند. تا زمانی که مهاجم دارای نقش مشارکت‌کننده در یک صفحه وب WordPress آسیب‌پذیر است، می‌تواند از این نقص سوءاستفاده کند. مهاجمان همچنین می‌توانند خودشان وب‌سایتی بسازند یا ابتدا یک وب‌سایت قانونی را جهت تزریق کد در معرض خطر قرار دهند. از آن پس تنها لازم است قربانیان فریب‌خورده، صفحه‌ی در معرض خطر را به‌منظور اجرای کد مخرب ملاقات کنند.
آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (XSS ذخیره‌شده)، شدیدترین نوع XSS است. XSS ذخیره‌شده زمانی اتفاق می‌افتد که یک برنامه‌ی کاربردی تحت وب داده‌های ورودی را از یک کاربر جمع‌آوری کند و آن داده‌ها را برای استفاده‌ی بعدی ذخیره سازد. اگر این داده‌ها به‌درستی فیلتر نشوند، داد‌ه‌های مخرب بخشی از وب‌سایت را تشکیل خواهند داد و درون مرورگر کاربر، تحت امتیازات برنامه‌ی کاربردی تحت وب، اجرا می‌شوند.
آسیب‌ دیگری که این نقص دارد این است که اگر قربانی دارای مجوز بالا باشد، مهاجم حتی می‌تواند کارگزار وب آن‌ها را در معرض خطر قرار دهد.
این نقص از نظر شدت، «متوسط» رتبه بندی شده است و دارای رتبه‌ی 6.1 در مقیاس 10 است.
این آسیب‌پذیری در نسخه‌های WordPress 5.0 تا 5.0.4، 5.1 و 5.1.1 یافت شده است و در ماه سپتامبر سال 2019، با انتشار نسخه‌ی WordPress 5.2.3، وصله شده است.
این نقص XSS، تنها نقص XSS وصله‌شده در بستر WordPress نیست؛ این به‌روزرسانی آسیب‌پذیری‌های XSS یافت‌شده در پیش‌نمایش‌های پست توسط مشارکت‌کنندگان، در نظرات ذخیره‌شده، در حین بارگزاری رسانه‌ها، در داشبود و در حین پاکسازی URL را نیز برطرف ساخته است.
نقص‌های XSS در WordPress و افرونه‌های مختلف، به آسیب‌زدن به این معروف‌ترین سیستم مدیریت محتوا در جهان که 60.4 درصد از سهم بازار CMS را به خود اختصاص داده‌است، ادامه می‌دهند. حدود یک سوم تمامی وب‌سایت‌های اینترنتی بااستفاده از WordPress ساخته شده‌اند.
به مدیران وب‌سایت‌ها توصیه می‌شود به‌روزرسانی منتشرشده جهت رفع این آسیب‌پذیری را در اسرع وقت به‌کار گیرند.