Specjaliści z fińskiej firmy Klikki Oy opublikowali informację o podatności WordPressa na ataki typu stored XSS (Cross-site scripting). Wstrzyknięcie złośliwego kodu JavaScript jest możliwe za pomocą specjalnie spreparowanego komentarza. Podatne są wersje 4.2, 4.1.2, 4.1.1 i 3.9.3 (z jakiegoś powodu nie wymieniono wersji 4.0.x). Na ten moment nie istnieje jeszcze poprawka – odkrywcy luki zalecają całkowite wyłączenie możliwości komentowania lub włączenie moderacji komentarzy i niezatwierdzanie ich bez uprzedniego sprawdzenia treści. Luka została usunięta w wersji 4.2.1 – zalecana jest jak najszybsza aktualizacja.

Na stronie Klikki Oy zamieszczono przykładowy kod demonstrujący podatność. Aby wykorzystać lukę przesyłany komentarz musi mieć co najmniej 64 kilobajty, co jest bardzo nienaturalne i może być zablokowane po stronie serwera (przez ograniczenie wielkości danych przesyłanych metodą POST – niestety, na niektórych serwerach współdzielonych nie jest to możliwe). Wstrzyknięty kod jest wykonywany w momencie wyświetlenia komentarza.

Teoretycznie atakujący korzystając z tej luki jest w stanie wykonać pewne czynności z uprawnieniami użytkownika przeglądającego stronę, czyli w skrajnym przypadku również administratora, włącznie z uruchomieniem własnego kodu na serwerze.

Oczywiście strony korzystające z alternatywnych systemów komentarzy (takich jak Disqus czy Livefyre) nie mają się czego obawiać.