Phát hiện đã có một lỗ hổng trong plugin WordPress Insert Headers and Footers + Custom Code Snippets WPCode, có hơn một triệu cài đặt, có thể cho phép kẻ tấn công xóa các tệp trên máy chủ. Cảnh báo về lỗ hổng này đã được đăng trên Cơ sở dữ liệu Lỗ hổng Quốc gia của Chính phủ Hoa Kỳ (NVD).

Plugin WPCode (trước đây được biết đến với tên gọi Insert Headers và Footers by WPBeginner) là một plugin phổ biến cho phép nhà xuất bản WordPress thêm đoạn mã vào khu vực tiêu đề và chân trang. Điều này hữu ích cho nhà xuất bản cần thêm mã xác nhận trang Google Search Console, mã CSS, dữ liệu được cấu trúc, thậm chí mã AdSense, gần như bất cứ thứ gì thuộc về tiêu đề hoặc chân trang của một trang web.

Lỗ hổng phát hiện trong plugin Insert Headers and Footers WPCode trước phiên bản 2.0.9 đã được xác định là lỗ hổng Cross-Site Request Forgery (CSRF). Cuộc tấn công CSRF phụ thuộc vào việc lừa đảo người dùng kết thúc đã đăng ký trên trang web WordPress để nhấp vào một liên kết thực hiện một hành động không mong muốn. Kẻ tấn công cơ bản là dựa trên thông tin đăng nhập của người dùng đã đăng ký để thực hiện các hành động trên trang web mà người dùng đó đã đăng ký. Khi một người dùng WordPress đã đăng nhập nhấp vào một liên kết chứa một yêu cầu độc hại, trang web được bắt buộc thực hiện yêu cầu đó vì họ đang sử dụng trình duyệt với thông tin cookie xác định người dùng đã đăng nhập. Đó là hành động độc hại mà người dùng đã đăng ký không biết cũng đang thực hiện mà kẻ tấn công đang đếm trên đó.

Đây là lỗ hổng thứ hai được phát hiện vào năm 2023 đối với plugin Insert Headers and Footers WPCode. Một lỗ hổng khác được phát hiện vào tháng Hai năm 2023, ảnh hưởng đến các phiên bản 2.0.6 hoặc thấp hơn, mà công ty an ninh WordPress Wordfence mô tả là “Không cấp quyền truy cập vào Sensitive Key Disclosure / Update.” WPCode đã phát hành một bản vá lỗi an ninh. Nên khuyến khích người dùng plugin Insert Headers and Footers WPCode cập nhật plugin của họ ít nhất lên phiên bản 2.0.9.