Os cibercriminosos estão explorando uma vulnerabilidade crítica no plugin ValvePress Automatic para WordPress, permitindo a criação de contas administrativas em sites da plataforma e facilitando possíveis tomadas de controle. O problema, identificado como CVE-2024-27956, tem uma pontuação CVSS de 9,9 em uma escala máxima de 10.

Afeta todas as versões do plugin anteriores à 3.92.0. A falha foi corrigida na versão 3.92.1, lançada em 27 de fevereiro de 2024, embora as notas de lançamento não mencionem a correção. A vulnerabilidade, um problema de injeção de SQL (SQLi), pode ser explorada por invasores para obter acesso não autorizado a sites, criar contas de usuários com nível administrativo, enviar arquivos maliciosos e potencialmente tomar controle total dos sites afetados.

A vulnerabilidade está enraizada no mecanismo de autenticação do plugin, que pode ser facilmente contornado para executar consultas SQL arbitrárias no banco de dados por meio de solicitações especialmente criadas. A vulnerabilidade foi divulgada publicamente em 13 de março de 2024. Desde então, mais de 5,5 milhões de tentativas de ataque para explorar a falha foram detectadas.