ช่องโหว่แรก reflected XSS problem ซึ่งเป็นภัยคุกคามระดับปานกลางที่ 6.5
The Newsletter Plugin ช่วยให้ Admin สามารถที่จะสร้าง Newsletters และ email campaigns ขึ้นมาภายใน WordPress ได้ตามที่ Wordfence ได้กล่าว ปัญหาก็คือช่องโหว่ reflected cross-site scripting (XSS) และช่องโหว่ PHP object-injection ซึ่งทั้งสองอย่างนี้สามารถแก้ไขได้โดยอัพเดทเวอร์ชั่น Newsletter เวอร์ชันให้เป็นเวอร์ชั่นล่าสุด v.6.8.2
ช่องโหว่แรก reflected XSS problem ซึ่งจัดว่าเป็นภัยคุกคามระดับปานกลางที่ 6.5 คะแนนตาม CVSS score ถ้าหากถูกโจมตีด้วยช่องโหว่นี้จะฤทำให้ผู้โจมตีที่ Logged-in เข้ามา Inject malicious code บน Web Server ได้
ช่องโหว่ที่สอง PHP object-injection bug ระดับภัยคุกคามอยู่ที่ 7.5 คะแนนตาม CVSS score โดยการ Inject PHP object ที่ประมวลผล code จาก Plugin และ Theme จากนั้นทำการรันโค้ด อัพโหลดไฟล์ หรือวิธีการอื่นๆเพื่อควบคุมเครื่อง
อ้างอิง : https://threatpost.com/newsletter-wordpress-plugin-site-takeover/158025/