Злоумышленник может захватить любой сайт WordPress, который имеет комментарии, включенные путем обмана администратора целевого блога, чтобы посетить веб-сайт, созданный злоумышленником. Как только жертва администратор посещает вредоносный веб-сайт, кросс-сайт запрос подделки (CSRF) эксплойт работает против целевой Блог WordPress в фоновом режиме, без жертвы замечая. CSRF использует злоупотребления несколькими логическими недостатками и ошибками дезинфекции, которые в сочетании приводят к удаленному исполнению кода и полному захвату сайта.
Так как WordPress поставляется с комментариями, включенными по умолчанию, злоумышленник может использовать эту уязвимость на любом сайте с настройками по умолчанию. Авто-обновления вышли вчера, но администраторы, которые имеют фоновые обновления отключены рекомендуется обновить немедленно.
Обслуживание релиз также включает в себя возможность для хостов, чтобы предложить кнопку, чтобы побудить своих пользователей обновить PHP впереди WordPress ‘планируется минимальная версия PHP Удар в 5.2. Уведомление «Обновление PHP» может быть отфильтровано, чтобы изменить рекомендуемую версию.
Ожидается, что версия 5.1.2 будет следовать через две недели.
Оригинал: wptavern.com