درصورتیکه از این افزونه استفاده می کنید و نام کاربری به اسم admin با دسترسی مدیریت دارید با ۴ قدم ساده امکان لاگین به یوزر admin بدون داشتن رمز وجود دارد . این باگ این هفته پابلیک شده است و بهتر است جهت جلوگیری از این دسترسی غیرمجاز و هک شدن حتما نام کاربری ای غیر از admin انتخاب کنید و پس از دریافت بروزرسانی جدید این افزونه آنرا دریافت نمایید.

عنوان : بای پس شناسایی ، افزونه وردپرسی user pro

یافته شده توسط : Colette Chamberland (Wordfence), Iain Hadgraft (Duke University)

# Exploit Title: Userpro – WordPress Plugin – Authentication Bypass
# Google Dork: inurl:/plugins/userpro
# Date: 11.04.2017
# Exploit Author: Colette Chamberland (Wordfence), Iain Hadgraft (Duke University)
# Vendor Homepage: https://codecanyon.net/item/userpro-user-profiles-with-social-login/5958681?s_rank=9
# Software Link: https://codecanyon.net/item/userpro-user-profiles-with-social-login/5958681?s_rank=9
# Version: <= 4.6.17
# Tested on: WordPress 4.8.3
# CVE : requested, not assigned yet.

Description
================================================================================
The userpro plugin has the ability to bypass login authentication for the user
‘admin’. If the site does not use the standard username ‘admin’ it is not affected.