Η προσθήκη WordPress WP HTML Mail, που είναι εγκατεστημένη σε περισσότερους από 20.000 ιστότοπους, είναι ευάλωτη σε ένα ελάττωμα υψηλής σοβαρότητας που μπορεί να οδηγήσει σε ένεση κώδικα και διανομή πειστικών μηνυμάτων ηλεκτρονικού ψαρέματος.
Το ‘WP HTML Mail’ είναι μια προσθήκη που χρησιμοποιείται για το σχεδιασμό προσαρμοσμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου, ειδοποιήσεων φόρμας επικοινωνίας και γενικά προσαρμοσμένων μηνυμάτων που στέλνουν οι διαδικτυακές πλατφόρμες στο κοινό τους.
Το πρόσθετο είναι συμβατό με WooCommerce, Ninja Forms, BuddyPress και άλλα. Αν και ο αριθμός των τοποθεσιών που το χρησιμοποιούν δεν είναι μεγάλος, πολλοί έχουν μεγάλο κοινό, επιτρέποντας στο ελάττωμα να επηρεάσει σημαντικό αριθμό χρηστών του Διαδικτύου.
Σύμφωνα με μια αναφορά από την ομάδα Threat Intelligence του Wordfence, ένας hacker χωρίς έλεγχο ταυτότητας θα μπορούσε να αξιοποιήσει το ελάττωμα που εντοπίστηκε ως “CVE-2022-0218” για να τροποποιήσει το πρότυπο email ώστε να περιέχει αυθαίρετα δεδομένα της επιλογής του εισβολέα.
Επιπλέον, οι φορείς απειλών μπορούν να χρησιμοποιήσουν την ίδια ευπάθεια για να στείλουν μηνύματα ηλεκτρονικού ψαρέματος σε οποιονδήποτε είναι εγγεγραμμένος στους παραβιασμένους ιστότοπους.