Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом.

После получения прав администратора злоумышленник может запускать свои коды на сервере, где хостится атакованный блог - то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет.

Представители Klikki Oy сообщили об уязвимости вендору 26 сентября. На текущий момент, через два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами.

На самом деле жертв будет меньше, потому что есть небольшое дополнительное условие для эксплуатации - нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости - следить за статистикой обновления WordPress в реальном времени можно здесь.

На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми - но если у вас старый WordPress, стоит все-таки обновиться.