Een beveiligingslek in WordPress maakt het mogelijk voor aanvallers om kwetsbare websites over te nemen en een update die het probleem verhelpt is nog niet beschikbaar. Via de kwetsbaarheid kan een WordPress-gebruiker met de rol van auteur of hoger willekeurige PHP-code op de onderliggende server uitvoeren en zo de website volledig overnemen.

De kwetsbaarheid werd door securitybedrijf RIPS Technologies ontdekt en op 16 oktober vorig jaar aan het WordPress-ontwikkelteam gemeld. Op dat moment bleek dat het beveiligingslek al 6 jaar in de code van WordPress aanwezig was. Afgelopen december kwam het WordPress-team met WordPress 5.0.1. Deze update verhelpt niet de kwetsbaarheid, maar zorgt ervoor dat de aanvalsvector niet meer werkt.

WordPress-sites lopen echter nog steeds risico. Doordat het onderliggende probleem niet is verholpen kan de aanvalsvector nog steeds aanwezig zijn als er kwetsbare plug-ins zijn geïnstalleerd. Via de plug-ins is het mogelijk om het beveiligingslek aan te vallen. WordPress heeft inmiddels een patch ontwikkeld die het probleem wel verhelpt, maar die patch is nog niet uitgerold. Het is ook nog onbekend wanneer deze update zal verschijnen. RIPS Technologies heeft nu besloten om de details toch openbaar te maken aangezien WordPress vier maanden de tijd heeft gehad om met een werkende update te komen.

Daarnaast heeft het bedrijf ook een soortgelijke kwetsbaarheid bij WordPress gemeld die nog niet is gepatcht, maar over dit lek zijn geen details gegeven. Zowel het eerste beveiligingslek, waarvoor een patch is ontwikkeld maar nog niet uitgerold, als de tweede kwetsbaarheid die nog niet is gepatcht, vereisen dat een aanvaller met de rechten van "auteur" content aan een WordPress-site kan toevoegen. WordPress-sites krijgen het advies om in ieder geval de meest recente versie te installeren en te kijken naar plug-ins waar aanvallers misbruik van zouden kunnen maken.