Un ricercatore di sicurezza, Krzysztof Katowicz-Kowalewski, ha scoperto una vulnerabilità critica nell'ultima versione di WordPress (v3.5.1) che espone i siti agli attacchi DOS (denial-of-service).
La falla di sicurezza è "dovuta ad un errore nel calcolo del conteggio dell'hash all'interno di "crypt_private()" in /wp-includes/class-phpass.php" secondo il rapporto emesso dalla società di sicurezza Secunia.
I bug in wordpress non sono evento raro, ma che espongano così il sito ad attacchi gravi non è effettivamente una cosa frequente.
Inviando un cookie "malevolo" contenente una password, un utente malintenzionato può causare danni al sito che usa questa versione “fallata” di WordPress. Tuttavia, l'exploit è limitato a quei siti che hanno almeno un post protetto da password e l'attaccante deve comunque essere a conoscenza dell’ URL di quel determinato post.
Secunia ha confermato l'esistenza della vulnerabilità nella versione 3.5.1. Non è da escludere però che qualche versione precedente possa essere afflitta da questo bug. Il ricercatore ha informato il team di sicurezza di WordPress del problema, ma dal momento che non ha ricevuto alcuna risposta, ha deciso di rivelare la vulnerabilità.
