WordPress อาจจะเป็นเครื่องมือในการสร้างเว็บไซต์ยอดนิยม มีความยืดหยุ่น และเครื่องมือสนับสนุนสูง แต่ก็มักจะตกเป็นข่าวด้านความปลอดภัยอยู่เสมอเช่นกัน
จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบช่องโหว่บนปลั๊กอิน PayU CommercePro ซึ่งเป็นปลั๊กอินสำหรับใช้จัดการขั้นตอนการ Check Out สินค้า สำหรับเว็บไซต์ eCommerce โดยช่องโหว่นี้ถูกตรวจพบโดยทีมวิจัยจาก PatchStack บริษัทนักพัฒนาเครื่องมือป้องกันภัยไซเบอร์บนเว็บไซต์ WordPress
ช่องโหว่ดังกล่าวนั้นมีรหัสว่า CVE-2025-31022 เป็นช่องโหว่ที่เกิดขึ้นบนปลั๊กอิน PayU CommercePro เวอร์ชัน 3.8.5 โดยเป็นปัญหาในส่วนตรรกะ (Logic) ภายใน API Route (/payu/v1/get-shipping-cost) ซึ่งรายละเอียดของช่องโหว่นั้น ตัวช่องโหว่เกิดจากการจัดการฟังก์ชันอย่างไม่ปลอดภัย (Unsafe Handling) บนฟังก์ชัน update_cart_data() ซึ่งเป็นฟังก์ชันสำหรับการจัดการคำสั่งซื้อ, สถานที่จัดส่ง, รหัสตัวตนผู้ใช้งาน (User ID) และจัดการในส่วนของ Session ข้อมูลโดยที่ไม่ต้องยืนยันตัวตนผู้ใช้งานก่อน (ซึ่งเป็นวิธีที่ไม่ปลอดภัย)