کمپین حمله، که از 16000 به علاوه آدرس های  مختلف IP حاصل می شود، این امکان را برای مهاجمان فراهم می‌کند تا از طریق  استفاده از بروزرسانی گزینه های دلخواه عملا از سایت‌های آسیب پذیر استفاده  کنند. محققان توصیه می کنند که تمام سایت ها باید به نسخه های پچ شده از  پلاگین ها و تم ها به روز شوند.

Uriel Maimon ، مدیر ارشد فن آوری های  نوظهور در خدمات حفاظت از تهدید، می گوید پلاگین های وردپرس همچنان یک خطر  عمده برای هر اپلیکیشن وب است، و باعث می‌شود آن‌ها به یک هدف منظم برای  حمله کنندگان تبدیل شوند.

آسیب پذیری یافت شد
محققان Wordfence می گویند که مهاجمان چهار پلاگین شخصی با آسیب پذیری به  روز رسانی های دلخواه غیر مجاز(Unauthenticated Arbitrary Options Update  Vulnerabilities) را هدف قرار می دهند. از چهار پلاگین، Kiwi Social Share   آخرین بار در نوامبر 2018 تأسیس شد. وردپرس اتوماتیک و Pinterest  Automatic از اوت 23، 2021 پچ شده است و قابلیت های PublishPress  به تازگی  در تاریخ 6 دسامبر 2021 پچ شده است.

Wordfence می گوید: "با توجه به شدت این  آسیب پذیری ها و کمپین های عظیم که آنها را هدف قرار می دهند، بسیار مهم  است تا اطمینان حاصل شود که سایت شما محافظت می شود. ما توصیه می کنیم که  هر سایتی که یکی از این پلاگین ها یا تم ها را اجرا می کنند، به نسخه پچ  شده به روز شوند. به روز رسانی پلاگین ها و تم ها این اطمینان را فراهم می  کند که سایت شما از خطر در برابر هر گونه سوء استفاده که این آسیب پذیری ها  را هدف قرار می دهد، ایمن باقی می ماند. "

محققان Wordfence همچنین فعالیت های بسیار  کمی از سوی مهاجمان مشاهده کردند که هر کدام از این آسیب پذیری ها را تا 8  دسامبر 2021 هدف قرار دادند، به این باور رسیدند که آسیب پذیری اخیرا پچ  شده در PublishPress  می تواند مهاجمان را تشویق کند تا آسیب پذیری های  مختلف دلخواه را به عنوان بخشی از مبارزات عظیم به روز رسانی کنند .

به گفته Maimon : "Shadow Code معرفی شده از  طریق پلاگین های شخص ثالث و چارچوب ها به طور گسترده سطح حمله را برای وب  سایت ها گسترش می دهد. در نتیجه، صاحبان وب سایت باید نسبت به پلاگین ها و  چارچوب های شخص ثالث هوشیار باشند و در سطح بالای به روز رسانی های امنیتی  بمانند. آنها باید وب سایت های خود را با استفاده از فایروال های وب حفظ  کنند . علاوه بر این، مهاجمان نیز یک آسیب پذیری فانکشن اینجکشن را در  زمینه های مختلف هدف قرار می دهند.

تم های Epsilon Framework که مورد هدف قرار  گرفته اند عبارتند از: Shapely, NewsMag, Activello, Illdy, Allegiant,  Newspaper X, Pixova Lite, Brilliance, MedZone Lite, Regina Lite,  Transcend, Affluent, Bonkers, Antreas and NatureMag Lite

پلاگین های آسیب دیده
پلاگین های آسیب دیده و نسخه های آنها عبارتند از: PublishPress  Capabilities <= 2.0.10 - این تمام مجوز ها(permission)  را بر روی یک  سایت وردپرس کنترل می کند و راه آسانی برای مدیریت کاربران از طریق ارائه  خدمات مانند دسترسی به نقش کاربر، مجوز ویرایش، است. این بیش از 100،000  نصب فعال دارد.

پلاگین دوم پلاگین Kiwi Social Plugin <=  2.0.10 است که دارای بیش از 10،000 نصب فعال است؛ این به کاربر مجوز می  دهد تا اجازه دهد بازدید کنندگان سایت محتوای رسانه های اجتماعی را به  اشتراک بگذارند. در حالی که Pinterest Automatic <= 4.14.3 به پین  خودکار تصاویر از پست های کاربران به Pinterest.com کمک می کند. این بیش از  7،416 نصب دارد.

آخرین پلاگینی که تحت تاثیر قرار می گیرد  WordPress Automatic <= 3.53.2  است که دارای بیش از 28،825 پیاده سازی  است و به پست از تقریبا هر وب سایتی به WordPress کمک می‌کند. همچنین می  توانید از سایت های محبوب مانند YouTube و توییتر با استفاده از API های  خود و یا تقریبا هر وب سایت انتخابی کاربر ماژول های خرابکاری خود را وارد  کند.
محققان Wordfence به کاربران توصیه می‌کنند حساب‌های کاربری را در سایت  مرور کنند تا مشخص شود که آیا حساب‌های کاربری غیرمجاز وجود دارد یا خیر.

Wordfence می گوید "اگر سایت یک نسخه آسیب  پذیر از هر یک از چهار پلاگین یا تم های مختلف را اجرا کند و یک حساب  کاربری Rogue  موجود باشد، پس آن سایت احتمالا از طریق یکی از این پلاگین  ها به خطر افتاده است. لطفا هر گونه حساب کاربری شناسایی شده را بلافاصله  حذف کنید." "همچنین مهم است که تنظیمات سایت را بررسی کنید و اطمینان حاصل  کنید که آنها به وضعیت اصلی خود بازگشته اند."

در ماه اکتبر، محققان Wordfence یک پلاگین  وردپرس را در بیش از 1 میلیون وب سایت مشاهده کردند که به شدت آسیب پذیر  بودند. این اولین آسیب پذیری در پلاگین های وردپرس نیست که محققان  Wordfence هشدار داده اند. در ماه مارس، آنها گزارش دادند که یک پلاگین  وردپرس به نام Tutor LMS دارای چندین آسیب پذیری مرتبط با نقطه پایانی AJAX  محافظت نشده بود. این معایب بعدا پچ شد.