Saif a rapporté une vulnérabilité, classifiée comme "moyennement critique", pour Wordpress 3.0.3, qui pourrait être exploitée par un internaute malveillant détourner les sessions des utilisateurs.
Les entrées envoyées au paramètre "content", lors de la publication d'un nouveau billet, ne sont pas traitées correctement avant d'être affichées au lecteur du billet. Plus précisement, la balise "IMG" est effectée dans ce traitement.
L'exploitation de la vulnérabilité nécessite que l'internaute malveillant puisse publier des billets sur le blog Wordpress vulnérable.
La vulnérabilité a été confirmée pour la version 3.0.3. D'autres versions peuvent être affectées.
Le fournisseur propose une mise à jour pour combler cette vulnérabilité.
Pour lire l'article dans son intégralité cliquez-ici.