Kritične bezbednosne ranjivosti otkrivene su u popularnim temama i dodacima namenjenim sajtovima za nekretnine, omogućavajući neovlašćenim korisnicima da steknu administratorske privilegije. Istraživači iz kompanije Patchstack identifikovali su ove probleme u septembru 2024. godine, ali uprkos višestrukim pokušajima da kontaktiraju proizvođača InspiryThemes, nisu dobili odgovor. Do danas, ranjivosti ostaju neispravljene i mogu biti iskorišćene.

Prva ranjivost, označena kao CVE-2024-32444 sa CVSS ocenom 9.8, odnosi se na temu RealHome. Funkcija inspiry_ajax_register omogućava registraciju novih korisnika, ali ne sprovodi adekvatnu proveru autorizacije niti validaciju nonce vrednosti. Napadači mogu poslati posebno kreiran HTTP zahtev ovoj funkciji i dodeliti sebi ulogu administratora, zaobilazeći sigurnosne provere.

Druga ranjivost, CVE-2024-32445 sa istom ocenom, pogađa dodatak Easy Real Estate. Funkcija ere_ajax_add_listing omogućava neautentifikovanim korisnicima da dodaju nove unose bez odgovarajućih provera. Napadači mogu iskoristiti ovu funkciju za kreiranje naloga sa administratorskim privilegijama.

S obzirom na to da ove ranjivosti još uvek nisu ispravljene, preporučuje se administratorima sajtova koji koriste ove teme i dodatke da onemoguće registraciju novih korisnika i redovno prate zvanične kanale za ažuriranja i bezbednosne zakrpe.