Hackerek által titokban elhelyezett hátsó ajtókat talált a nepáli AccessPress által az ingyenes tartalomkezelő WordPresshez készített témáiban és kiegészítőiben a JetPack kiberbiztonsági cég. A sebezhetőség 40 témát és 53 plugint érintett.

A fertőzött kiterjesztés olyan web shellt készített, ami teljes hozzáférést ad a fertőzött oldalhoz. Ugyanez a kiterjesztés kártevő mentes volt a közvetlen WordPress letöltésben 

– írták a JetPack szakemberei beszámolójukban.

A Sucuri webbiztonsági platform kutatói olyan oldalakat is találtak, amik három éve működtek a sebezhetőséggel, ezért felhívták az AccessPress termékeinek használóit, hogy ellenőrizzék rendszereik biztonságosságát.

A WordPress helyzete egyre romlik az elszaporodott rosszindulatú programoktól. A WordPress biztonságára specializált Wordfence nemrég például a 20 ezer oldalra letöltött WP HTML Mail email minta tervezőben talált kereszt-szkripting sebezhetőséget.

(Ars Technica, The Hacker News)