RIPS Technologies teadlased teatasid haavatavusest seitse kuud tagasi WordPressi turvameeskonnale, kuid seda pole siiani parandatud, sealhulgas viimane versioon 4.9.6. Kuna umbes 30% lehtedest on ehitatud WordPressile, on see haavatavus tõsine ja võib muutuda küberkuritegevuse trikiks, teatab RIPS oma ajaveebis.
Teadlased leidsid, et backoffice’is saadetud piltide pisipiltide kustutamise funktsioon aktsepteerib saidil piiratud õigustega kasutajate, näiteks sisu kaasautorite, suhtlemist. Nii on võimalik veebiserverist kustutada kõik failid, mille volitused tuleks anda ainult saidi või serveri administraatorile.
Kuigi haavatavust saavad kasutada kasutajad, kellel on mõnel juhul projektiga link, saavad häkkerid pääseda teie mandaatidele andmepüügi kaudu. Või lihtsamalt öeldes võiks mässumeelne töötaja hõlpsasti kogu veebisaidi üle võtta.
Teadlaste sõnul võiks selle haavatavuse kaudu kõik serveris olevad olulised failid, sealhulgas turvaseaded, kustutada ja seeläbi veebisaidi kaitse välja lülitada.
RIPS-tehnoloogia simuleerib tõendamiseks video haavatavusi. Samuti pakub see käsitsi parandusi, mida kasutajad saavad oma veebisaidil käsitsi rakendada, kuni WordPress on selle täielikult fikseerinud.
