Secondo quanto rivelato negli scorsi giorni dalla compagnia finlandese Klikki Oy, le versioni di WordPress appartenenti al ramo 3 del progetto presenterebbero una problematica di sicurezza di livello critico, motivo per il quale circa l'86% delle attuali installazioni attive del CMS risulterebbero vulnerabili; in settembre, mese del rilascio della versione 4.0, tale percentuale sarebbe stata pari al 90%.
Sostanzialmente la vulnerabilità citata potrebbe essere sfruttata attraverso il sistema dei commenti (e quindi, in molti casi, senza necessità di autenticazione), tramite un exploit basato sulla scrittura di stringhe appositamente confezionate per l'invio di codice malevolo utilizzando campi di testo; una procedura non particolarmente complessa che, almeno in teoria, potrebbe colpire la maggior parte dei circa 10 milioni di siti Web basati su WordPress attualmente in Rete.
Il codice inviato via commento da un utente malintenzionato potrebbe essere eseguito involontariamente dall'amministratore di un'installazione del Blog Engine semplicemente visualizzando quest'ultimo tramite Web browser, fatto questo l'attacco potrebbe proseguire con la creazione di un nuovo account con privilegi di Admin, con la modifica della password dell'amministratore corrente e, nei casi più gravi, con l'accesso al sistema operativo dell'hosting previo invio di istruzioni basate su PHP.
La versione 3.0 di WordPress è stata introdotta nel 2010, considerando che la release 4.0 non risulterebbe affetta da questa vulnerabilità, la falla sarebbe rimasta aperta e presente nel core dell'applicazione per circa 4 anni fino ad essere scoperta lo scorso 26 settembre. La prima patch per la correzione del problema risale invece al 20 di novembre, mentre il plugin antispam Akismet è stato appositamente aggiornato per filtrare i commenti malevoli generati per veicolare l'exploit.
Via Klikki Oy