Um novo tipo de ataque pode comprometer a segurança de milhões de servidores rodando WordPress em todo mundo. A correção está disponível desde ontem e sua instalação é altamente recomendável.
O pesquisador de segurança da Finlândia Jouko Pynnonen descobriu no ano passado a vulnerabilidade que permite a um agressor assumir o controle do servidor injetando código nos comentários de qualquer site usando WordPress. Pynnonen alega que desde Novembro de 2014 vinha tentando alertar a desenvolvedora da plataforma, sem obter respostas.
Durante o final de semana, Pynnonen publicou uma prova de conceito do ataque, na esperança de que a WordPress corrigisse o problema antes que algum hacker também descobrisse a vulnerabilidade. A estratégia parece ter funcionado e o WordPress lançou a atualização 4.2.1 para neutralizar a falha de segurança.
Com a prova de conceito publicada está aberto o caminho para que este tipo de ataque comece a ser explorado na Internet. Administradores de sites com WordPress que não receberam a atualização automaticamente nesta segunda-feira devem atualizar sua versão da plataforma o mais rápido possível.
