Op de website van Hacking Truth is vandaag een bericht geplaatst over een mogelijk aanwezige kwetsbaarheid in WordPress 3.2.1.
De schrijver van het artikel claimt dat het voor bezoekers mogelijk is een XSS Injection uit te voeren door het plaatsen van HTML/JavaScript code in een reactie. Andrew Nacin, één van de WordPress core developers stuurde een tweet waarin hij melde dat deze bevinding niet juist was.
Navraag leerde dat de ontdekkers van het ‘lek’ de reactie met de JavaScript code als admin of editor hebben geplaatst. Gebruikers met deze rollen hebben het recht om ongefilterde HTML te plaatsen. Zie hiervoor de huidige schema.php en zoek even op ‘unfiltered_html’.
UPDATE: Het artikel is inmiddels aangepast.