អ្នកប្រើប្រាស់កម្មវិធី WordPress កំពុងតែត្រូវបញ្ចុះបញ្ចូលឱ្យធ្វើបច្ចុប្បន្នភាពទៅកាន់ជំនាន់ 6.1.6 ដើម្បីកាត់បន្ថយនូវហានិភ័យផ្សេងៗ។បញ្ហា CVE-2023-30777 ពាក់ព័ន្ធនឹងករណីស្គ្រីបឆ្លងទំព័រ ( Reflected cross-site scripting (XSS)) ដែលអាចត្រូវកេងប្រវ័ញ្ចដើម្បីចាក់បញ្ចូលស្គ្រីបតាមចិត្តទៅក្នុងគេហទំព័រ។ កម្មវិធី WordPress មានទាំងហ្រ្វី (free) និង ប្រូ (pro) មានការដំឡើងជាង២លាន ហើយបញ្ហាត្រូវគេរកឃើញនិងរាយការណ៍ទៅកាន់អ្នកជួសជុលកាលពីដើមខែឧសភា ឆ្នាំ២០២៣។
អ្នកស្រាវជ្រាវនៅ Patchstack ថ្លែងថា បញ្ហានេះបើកឱ្យមានការមិនផ្ទៀងផ្ទាត់សម្រាប់អ្នកប្រើប្រាស់ ហើយក៏បណ្តាលឱ្យមានការលួចព័ត៌មានសំខាន់ៗ ចំពោះករណីការកើនឡើងឯកសិទ្ធិនៅលើគេហទំព័រ WordPress បញ្ឆោតអ្នកប្រើឱ្យចូលទៅកាន់ URL path ដែលបង្កើត។
ការវាយប្រហារបែប Reflected XSS កើតឡើងនៅពេលអ្នកប្រើត្រូវបញ្ឆោតឱ្យចុចលើលីងបន្លំដែលផ្ញើតាមអុីម៉ែល ហើយបណ្តាលឱ្យកូដអាក្រក់ត្រូវផ្ញើទៅកាន់គេហទំព័រជនរងគ្រោះ ដែលឆ្លុះបញ្ចាំង (reflect) ពីការវាយប្រហារត្រលប់ទៅកាន់កម្មវិធីរុករករបស់អ្នកប្រើ។ គួរកត់សម្គាល់ផងដែរថា បញ្ហា CVE-2023-30777 អាចត្រូវដំណើរការ (activate) នៅលើការដំឡើងស្រាប់ (default) ឬការកំណត់រចនាសម្ព័ន្ធនៃ Advanced Custom Fields បើទោះជា វាអាចធ្វើតែអ្នកប្រើដែលចូលនិងមានសិទ្ធិប្រើកម្មវិធីនេះប៉ុណ្ណោះ។ក្រៅពីនេះ នៅមានបញ្ហា Craft CMS ដែលមាន patch (CVE-2023-30177 and CVE-2023-31144) ដែលអាចត្រូវកេងប្រវ័ញ្ចដោយហេគឃ័រប្រើ payloads មេរោគ។
ជាងនេះទៀត បញ្ហា XXS ផ្សេងទៀតក៏កើតឡើងនៅក្នុង cPanel product (CVE-2023-29489) ដែលអាចត្រូវរំលោភបំពានដោយមិនត្រូវការការផ្ទៀងផ្ទាត់ដើម្បីដំណើរ JavaScript។ អ្នកស្រាវជ្រាវពន្យល់ថា ហេគឃ័រមិនត្រឹមតែអាចវាយប្រហារលើការគ្រប់គ្រងផត (port) របស់ cPanel ប៉ុណ្ណោះទេ ថែមទាំងកម្មវិធី WordPress ថែមទៀត ដែលកំពុងតែដំណើរការលើផត 80 and 443 បន្ថែមពីលើការលួចយក cPanel session របស់អ្នកប្រើ៕
