Zuid-Koreaanse onderzoekers hebben met een geautomatiseerde testkit dertig kwetsbaarheden gevonden in de file-upload functies van 23 apps waaronder WordPress. Het zou gaan om een specifiek mechanisme dat aanwezig is in apps die gebruikt wordt voor het bieden van een mogelijkheid tot file-uploads.

Het mechanisme werd aangetroffen in 23 verschillende soorten apps. Onder andere content management systemen, fora en open-source webapplicaties zouden de kwetsbaarheid bevatten, waardoor kwaadwillende partijen een volledig systeem kunnen overnemen. Files zouden geüpload kunnen worden en zichzelf vervolgens uitpakken, waarna deze gebruikt kunnen worden als backdoor.

De onderzoekers bouwden een speciale tool die specifiek wordt gebruikt om te zien of bepaalde platformen een beveiliging bevatten die het uploaden van excecutables voorkomt: de tool draagt de naam FUSE.

Makers van de gevonden kwetsbare apps (waaronder WordPress) werden op de hoogte gesteld van het probleem, waarna een aantal meldde dat deze kwetsbaarheid reeds was verholpen middels een patch. WordPress liet weten ermee aan de slag te gaan, terwijl er ook makers bijzaten die aangaven niets te zullen doen met de data.

De reden hiervoor (gegeven door twee makers) was dat een deel van de gevonden bugs admin-toegang vereiste. De redenatie was vervolgens dat iemand met admin-toegang ook via een normale weg een server van de betreffende service kon bereiken.

Welke van de gevonden kwetsbaarheden bij welk platform aanwezig is, is door de academici niet bekendgemaakt vanwege veiligheidsredenen.