Η έκδοση 4.0.1 WordPress κυκλοφόρησε για να επιδιορθώσει ένα σοβαρό πρόβλημα που παρουσιάστηκε σε όλες τις εκδόσεις του CMS (σύστημα διαχείρισης περιεχομένου) από την έκδοση 4.0 και πριν, η οποία μάλιστα αποτελεί το 85,5% των εγκαταστάσεων του WordPress.
Η ευπάθεια αυτή του συστήματος είχε περάσει απαρατήρητη για περίπου τέσσερα χρόνια, μιας και υπήρχε από την έκδοση 3.0 του CMS, που κυκλοφόρησε το 2010. Ανακαλύφθηκε από τον Jouko Pynnonen, της φινλανδικής εταιρείας ΙΤ, Klikki Oy, και η ευπάθεια αυτή επιτρέπει την εκτέλεση αυθαίρετου κώδικα JavaScript σε κουτιά σχολίων χρηστών.
Οι εντολές, βρίσκονται μέσα στο script της σελίδας και τρέχουν, με δικαιώματα διαχειριστή τη στιγμή που το θύμα – χρήστης θα προσπαθήσει να δει κάποιο σχόλιο στη σελίδα. Ένας τρόπος για να γίνει αυτό είναι να κρυφτεί το κακόβουλο Javascript μεταξύ διαφόρων URL μέσα στο σχόλιο. Το κείμενο περνάει στην ουρά εξέτασης από το σύστημα και μόλις το δει ο διαχειριστής θα εκτελεστούν οι επικίνδυνες εντολές.
Με τον τόπο αυτό, το script δε μπορεί να εντοπιστεί ούτε από τις μηχανές αναζήτησης αλλά ούτε και από άλλους χρήστες. Σε μια εξήγηση που δίνει η εταιρεία IT Klikki Oy, ενημερώνει ότι όλες οι λειτουργίες πραγματοποιούνται στο παρασκήνιο χωρίς να φαίνονται. Ο εισβολέας θα μπορούσε να εκτελέσει τις εντολές για την αλλαγή του κωδικού πρόσβασης του τρέχοντος χρήστη, δημιουργία ενός νέου λογαριασμού admin, και άλλα πολλά ώστε να βλάψει τη σελίδα.
Ακόμη πιο ανησυχητικό όμως, είναι η δυνατότητα που έχει να προσθέσει κακόβουλο κώδικα PHP στο διακομιστή μέσω του editor, και να εκτελέσει αμέσως με ένα Ajax request. Αυτό θα μπορούσε να επιτρέψει στον εισβολέα, πρόσβαση στο λειτουργικό σύστημα του διακομιστή.
Όλοι οι διαχειριστές σελίδων WordPress θα πρέπει να εγκαταστήσουν την τελευταία αναβάθμιση, ώστε να μην έχουν πρόβλημα με την ασφάλεια των σελίδων τους.
