Beheerders van WordPress-sites zijn gewaarschuwd voor wederom een kritiek beveiligingslek in het populaire contentmanagementsysteem (CMS) waardoor aanvallers kwetsbare websites en blogs volledig kunnen overnemen. Net als de kritieke kwetsbaarheid van vorige week gaat het om een cross-site scriptingprobleem waardoor een aanvaller JavaScript in reacties kan plaatsen.

Als een ingelogde beheerder deze code te zien krijgt kan de aanvaller willekeurige code op de server uitvoeren en zo de website compromitteren. Ook is het mogelijk om het wachtwoord van de beheerder te wijzigen, nieuwe beheerdersaccounts aan te maken of andere acties uit te voeren die normaal alleen aan de beheerder zijn voorbehouden. Het probleem werd zondag door een Finse beveiligingsonderzoeker Jouko Pynnonen geopenbaard.

WordPress reageerde op het zero day-lek met een noodpatch die sinds gisteren is te downloaden. Vanwege de ernst van het beveiligingslek krijgen beheerders het advies om zo snel als mogelijk naar versie 4.2.1 te upgraden. Bij websites die de automatische updatefunctie van WordPress hebben ingeschakeld is de uitrol inmiddels ook begonnen. Beveiligingsbedrijf Sucuri heeft een analyse van de kwetsbaarheid online gezet.