พบช่องโหว่ในปลั๊กอิน User Profile Picture ที่มีเว็บไซต์ WordPress ใช้งานกว่า 6 หมื่นเว็บ โดยช่องโหว่นี้เกิดจาก REST API ในฟังก์ชัน upload_file ที่เมื่อมีการใช้ Guternberg เพิ่มบล็อกไปยัง Post ปลั๊กอินจะส่งคำขอไปเพื่อดึงรูปโปรไฟล์และชื่อผู้ใช้ เพื่อเพิ่มสิทธิ์การแก้ไขโพสต์ให้กับผู้ใช้ แต่ REST API จะส่งข้อมูลออกมามากกว่าที่จำเป็น (เช่น อีเมล ชื่อผู้ใช้ รหัสผ่าน hashes ฯลฯ) ซึ่งอาจทำให้ถูกดึงข้อมูลสำคัญไปได้

ช่องโหว่นี้จะมีผลกับปลั๊กอิน User Profile Picture เวอร์ชัน 2.4.0 หรือต่ำกว่า เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน User Profile Picture เป็นเวอร์ชัน 2.5.0 หรือเวอร์ชันล่าสุด

ที่มา : Wordfence