Una compañía de seguridad finlandesa ha descubierto un bug en la versión 3.x de WordPress que puede ser utilizado para ejecutar ataques basados en scripts. A tenor de las estadísticas de uso actuales de WordPress, dicha vulnerabilidad podría afectar hasta a un 86% de los sitios que utilizan esta plataforma de publicación.
El error de seguridad permite escribir un comentario que incluya código JavaScript malicioso. Si el administrador del blog mantiene la configuración por defecto de WordPress y deja publicar comentarios sin que sus autores se tengan que registrar antes, ello deja vía libre para que un atacante con conocimiento de este bug pueda sacarle provecho añadiendo un script preparado a tal efecto dentro de su escrito.
El código puede ser utilizado para crear una cuenta de administrador, cambiar acto seguido los datos de acceso del propietario de la web e impedir que éste acceda a la misma. A continuación puede modificar el sitio a su gusto e instalar plugins que recaben información de los visitantes.
La versión 4.x de WordPress no está afectada por esta vulnerabilidad, pero pese a ello es conveniente que tanto los editores de WP 3.x como de 4.x instalen cuanto antes las actualizaciones de seguridad que se han publicado en los últimos días y que blindan esta plataforma ante este tipo de ataques.