Er bevindt zich een ongepatcht beveiligingslek in WordPress waardoor aanvallers websites in bepaalde gevallen volledig kunnen overnemen, code op de onderliggende server kunnen uitvoeren en willekeurige bestanden kunnen verwijderen. De kwetsbaarheid is meer dan 7 maanden geleden aan de WordPress-ontwikkelaars gerapporteerd, maar een beveiligingsupdate is nog steeds niet voorhanden.
De kwetsbaarheid doet zich voor doordat gebruikersinvoer voor de deletefunctie niet goed wordt opgeschoond. Om van het lek gebruik te kunnen maken moet een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" is al voldoende om de kwetsbaarheid te misbruiken. Een aanvaller kan bijvoorbeeld het account van een WordPress-gebruiker proberen te kapen of misbruik van een ander beveiligingslek maken om hier toegang toe te krijgen.
Ook biedt het lek mogelijkheden voor kwaadwillende medewerkers van een WordPress-site. Wanneer de aanvaller over een account beschikt is het mogelijk om elk willekeurig WordPress-bestand te verwijderen, alsmede alle andere bestanden die op de server staan. Daarnaast kan de aanvaller bepaalde beveiligingsmaatregelen omzeilen en willekeurige code op de server uitvoeren. Tevens maakt de kwetsbaarheid het mogelijk om de WordPress-site over te nemen.
De ontwikkelaars van WordPress werden op 20 november vorig jaar over de kwetsbaarheid ingelicht. Op 24 januari van dit jaar liet het ontwikkelteam weten dat een update naar schatting 6 maanden in beslag zou nemen. Eind mei vroegen onderzoekers van securitybedrijf RIPS Technologies om een update, maar kregen geen reactie. Daarop zijn nu de details openbaar gemaakt. Ook heeft het securitybedrijf een tijdelijke "hotfix" gemaakt. Deze hotfix wordt met name aangeraden voor websites waar meerdere gebruikers op het WordPress-systeem kunnen inloggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.