A vulnerabilidade foi reportada já há sete meses pelos investigadores da RIPS Technologies à equipa de segurança do WordPress, mas até à data ainda não foi corrigida, incluído a versão mais recente 4.9.6. Sendo cerca de 30% das páginas construídas em WordPress, esta vulnerabilidade é grave e pode ser um chamariz para crimes cibernéticos, reporta a RIPS no seu blog.

Os investigadores descobriram que a funcionalidade para apagar thumbnails de imagens submetidas no backoffice aceita a interação de utilizadores com privilégios limitados no site, como por exemplo, um colaborador de conteúdos. Desta forma, é possível apagar qualquer ficheiro do servidor web, autorização que apenas deveria ser concedida a administradores do site ou servidor.

Embora a vulnerabilidade possa ser explorada por utilizadores que, de alguma forma tenham ligações aos projetos, é possível que um hacker ganhe acesso às suas credenciais através de phishing. Ou simplesmente, um colaborador que se rebele pode simplesmente tomar conta de todo o website.

Os investigadores referem que através desta vulnerabilidade, todos os ficheiros críticos do servidor podem ser apagados, incluindo as configurações de segurança, e desta forma desligar a proteção do website.

A RIPS Technology fez uma simulação da vulnerabilidade em vídeo, para constar como prova. Disponibiliza ainda uma correção manual que os utilizadores podem aplicar manualmente nos seus sites, até que seja corrigida definitivamente pela WordPress.