W popularnej platformie blogowe WordPress odkryto lukę, pozwalającą zalogowanym użytkownikom na przeglądanie konfiguracji wtyczek oraz manipulowanie ich ustawieniami poprzez odpowiednie preparowanie określonych adresów URL. Winnym jest plugin admin.php, który nieprawidłowo waliduje uprawnienia dostępu. Jednym z plug-in'ów zagrożonych tego rodzaju atakiem jest m.in. PHP IDS (System detekcji włamań). Inną podatną wtyczką jest "Related Ways To Take Action", która pozwala na wykonanie ataku Cross Site Scripting. Dodatkowym niebezpieczeństwem jest niejednolity system reagowania strony logowania na podawane nieprawidłowe nazy użytkownika oraz hasła, co może w konsekwencji doprowadzić do ich odgadnięcia.

Problemami dotknięte są wersje WordPress 2.8 i wcześniejsze, a także WordPress MU (Multi User) 2.7.1 i wcześniejsze.

Wszystkie powyższe podatności zostały wyeliminowane w WordPress w wersji 2.8.1, o czym można przeczytać na stronie domowej projektu:
http://wordpress.org/development/2009/07/wordpress-2-8-1/

Źródło:
http://www.heise-online.pl/news/Luki-w-WordPressie--/9359