این ضعف امنیتی حیاتی در افزونه MailPoet که قبلا با نام wysija-newsletters شناخته می شد، توسط کارشناسان شرکت امنیتی Sucuri کشف و شناسایی شده است.
ضعف امنیتی MailPoet باید جدی گرفته شود. سوء استفاده از این ضعف امنیتی می تواند به نفوذگر امکان هر کاری را بر روی سایت قربانی بدهد. این ضعف امکان انتقال هر فایل PHP را به سایت قربانی می دهد و از این طریق می توان از سایت آسیب پذیر برای انتشار انواع بدافزار، کلاهبرداری (Phishing)، ارسال هرزنامه (Spam) و … استفاده کرد.
ضعف امنیتی شناسایی شده در نسخه جدید 2.6.7 افزونه MailPoet ترمیم و برطرف شده است. این نسخه جدید اواخر هفته گذشته منتشر شده و به استفاده کنندگان از افزونه MailPoet اکیداً توصیه می شود که در اسرع وقت اقدام به ارتقا آن به نسخه جدید نمایند.
ضعف امنیتی MailPoet به دلیل اشتباه طراحی و برنامه نویسی به وجود آمده است. فرمان admin_init برای شناسایی کاربر Admin به درستی مورد استفاده قرار نگرفته و باعث شده تا به هر کاربری امکان ارسال (upload) فایل به سایت داده شود.
سایت هایی که مبتنی بر بستر WordPress هستند همواره مورد توجه نفوذگران و بدافزارنویسان قرار دارند. این افراد با پویش مستمر سایت های WordPress آسیب پذیر را شناسایی کرده و با سوء استفاده از نقاط ضعف ترمیم نشده بر روی این سایت ها، از آنها برای مقاصذ شوم خود سودجویی می کنند.