Sono state scoperte due vulnerabilità nell’ultima versione di WordPress, la 2.5.

Il primo consente di creare altri utenti anche a chi non ha i diritti sufficienti.

Il secondo è definito un “multiple SQL injection”: dal form del commento un visitatore, inserendo codice malevolo, potrebbe accedere DIRETTAMENTE al database SQL estraendo dati sensibili oppure modificandoli.

Come se non bastasse Wordpress 2.5 ha anche alcuni gravi errori nel sistema di upload dei file multimediali ed alcune incompatibilità con IE 7.

A breve il team di sviluppo rilascierà una versione 2.5.1 che metterà una pezza a tutte queste vulnerabilità.
Per chi non volesse attendere, è stata creata una patch che risolve il primo exploit, scaricabile qui.