Uma companhia de segurança finlandesa descobriu um bug na versão 3.x de WordPress que pode ser utilizado para executar ataques baseados em scripts. De acordo as estatísticas de uso atuais de WordPress, dita vulnerabilidade poderia afetar até 86% dos sites que utilizam esta plataforma de publicação.

O erro de segurança permite escrever um comentário que inclua código JavaScript malicioso. Se o administrador do blog manter a configuração padrão do WordPress e deixar publicar comentários sem que seus autores tenham que se registrar antes, isso deixa via livre para que um atacante com conhecimento deste bug possa tirar proveito acrescentando um script preparado a tal efeito dentro de sua escrita.

O código pode ser utilizado para criar uma conta de administrador, ato seguido mudar os dados de acesso do proprietário do site e impedir que este acesse a sua conta. A seguir pode modificar o site a vontade e instalar plugins que recolham informação dos visitantes.

A versão 4.x de WordPress não foi afetada por esta vulnerabilidade, mas pese a isso é conveniente que tanto os editores de WP 3.x quanto do 4.x instalem o quanto antes as atualizações de segurança que foram publicadas nos últimos dias e que blindam esta plataforma ante este tipo de ataques.