В системе управления web-контентом WordPress, используемой примерно на 18% из миллиона самых популярных сайтов в Сети, обнаружена опасная уязвимость, потенциально позволяющая организовать выполнение PHP-кода на сервере.

Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через задействование класса стороннего плагина к WordPress. Найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые после выполнения unserialize(), не удалось. Кроме того, разработчики WordPress выяснили, что проблема не проявляется в конфигурациях с MySQL, в которых игнорируется хвост UTF8-последовательности при выявлении неполного многобайтового Unicode-символа.

Уязвимость устранена в экстренно выпущенном релизе WordPress 3.6.1. Пользователям WordPress рекомендуется незамедлительно установить обновление. В выпуске 3.6.1 также устранены ещё две неприятные уязвиомости: проблема, позволяющая пользователю с правами автора сформировать публикацию