Plusieurs vulnérabilités de sécurité ont été corrigées dans le plugin Hide My WP par wpWave qui permettait une injection SQL non authentifiée et permettait à des utilisateurs non authentifiés de récupérer un jeton pour désactiver le plugin.

Le plugin est décrit comme un plugin qui vous aide à cacher votre installation WordPress des attaquants, des spammeurs et des détecteurs de thèmes. Il peut également cacher votre URL de connexion WordPress et vous permet de renommer votre URL d'administration.

Le versions 6.2.3 et inférieures du plugin premium Hide My WP sont celle qui sont affecter. La première vulnérabilité permet à tout utilisateur non authentifié de réaliser une injection SQL et la deuxième vulnérabilité permet également à tout utilisateur non authentifié de récupérer un jeton de réinitialisation qui peut ensuite être utilisé pour désactiver le plugin.

Le plugin est sujet à ces vulnérabilités car il ne parvient pas à nettoyer correctement les entrées fournies par l'utilisateur. Un attaquant peut tirer parti de ce problème pour exécuter un code script arbitraire dans le navigateur d'un utilisateur peu méfiant dans le contexte du site affecté. Cela peut permettre à l'attaquant de voler les informations d'authentification basées sur les cookies et de lancer d'autres attaques.

Les responsables de sites Wordpress sont invités à mettre à jour leur plugin Hide My WP vers la version 4.52 ou la plus récente.