Eine SQL-Injection-Lücke in Wordpress gefährdet die Sicherheit von Blogsystemen. Auf Milw0rm wurde ein Exploit veröffentlicht, der unautorisierte Zugriffe auf die zugrunde liegende Datenbank ermöglichen soll. Schuld ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die Nutzerparameter nicht richtig filtert. Dadurch ist es möglich, eigene Befehle an die Datenbank zu übergeben und etwa Inhalte zu manipulieren oder Namen und Passwort-Hashes anderer Nutzer einzusehen. Für einen erfolgreichen Angriff ist allerdings eine vorherige Authentifizierung erforderllich.
Der Fehler wurde in Version 2.2 gefunden, vorherige Versionen sind sehr wahrscheinlich ebenfalls betroffen. Ein Patch gibt es nicht. Dass der Exploit nur bei angemeldeten Nutzern funktioniert, dürfte das Risiko eines Angriffs verringern. Anwender sollten nur vertrauenswürdigen Personen Schreibzugriff auf das System gewähren.