وب‌مسترهایی که هنوز از افزونه‌ی WP Marketplace وردپرس استفاده می‌کنند باید در اولین فرصت ممکن یک ابزار تجارت الکترونیک دیگر را جای‌گزین کنند و افزونه‌ی مذکور را از وب‌گاه‌های خود حذف نمایند تا از نفوذ به وب‌گاه‌های خود جلوگیری کنند.

دلیل این هشدار یک شکاف امنیتی است که این افزونه را تهدید می‌کند. مشکل پیش‌آمده به نفوذگر احتمالی اجازه می‌‌دهد تا پرونده‌های دلخواه خود را روی وب‌گاهی که این افزونه در آن نصب است، بارگذاری نماید.

یک شخص ثالث بسته به مهارت‌های این نفوذگر، و پرونده‌ها و کدهای نفوذی مناسب می‌تواند کارگزار زیرساخت وب‌گاه مورد نظر را در اختیار خود درآورد.

نفوذگران به دنبال پویش وب‌گاه‌های آسیب‌پذیر

محققان امنیتی White Fir Design این شکاف را کشف کرده‌اند، شکافی که در حقیقت از نوع آسیب‌پذیری‌های بارگذاری پرونده‌ی دلخواه می‌باشد. این شرکت می‌گوید که بعد از پویش‌های انجام‌شده به منظور شناسایی پرونده‌ی CSS افزونه در وب‌گاه‌های مختلف، موفق به کشف این مسئله شده است.

محقق White Fir گفت: «درخواست یک پرونده از افزونه‌ای که روی یک وب‌گاه نصب نشده معمولاً نشانه‌ی این است که یک نفوذگر سعی دارد پیش از سوءاستفاده از هرچیز دیگری از همین افزونه استفاده نماید.»

«ما همچنین شاهد چندین درخواست برای این پرونده در میان داده‌های شخص ثالث بوده‌ایم.»

شرکت مذکور در ۱۴ اکتبر توانست این شکاف را پیدا کند؛ در همان زمان با تیم راهنمای افزونه‌ی وردپرس۲ تماس گرفت، این تیم نیز در پاسخ اقدام به حذف افزونه‌ی مذکور از وب‌گاهش نمود.

افزونه‌ی WP Marketplace هشت ماه پیش کنار گذاشته شده است.

این افزونه، که توسط توسعه‌دهنده‌ای به نام Shaon ایجاد شده، در چند سال اخیر محبوب بوده است؛ در حقیقت افزونه‌ی مورد بحث راه‌کاری ساده برای اجرای یک فروشگاه برخط بوده و ویژه‌ی فروش محصولات دیجیتال بوده است. در این میان، توسعه‌دهنده یک افزونه‌ی جدیدتر را برای هدفی مشابه ساخت و آن را Download Manager وردپرس نامید.

به این ترتیب وی در صفحه‌ی WP Marketplace اعلام کرد که قصد توقف توسعه‌ی افزونه‌ی مورد بحث را دارد، افزونه‌ای که آخرین به‌روزرسانی‌اش را حدود ۸ ماه پیش دریافت کرده است. به استناد وب‌گاه وردپرس، WP Marketplace کماکان بین ۴۰۰ تا ۵۰۰ نصب فعال دارد.

به گفته‌ی White Fir Design، جدیدترین افزونه‌ی Shaon هم که WordPress Download Manager نام دارد، از یک آسیب‌پذیری بارگذاری پرونده‌ی دلخواه احراز هویت‌نشده رنج می‌برد. این شرکت می‌گوید که آسیب‌پذیری مذکور تا به این لحظه اصلاح نشده است. گفتنی است که افزونه‌ی مورد نظر در مخزن افزونه‌های WordPress.org موجود می‌باشد.