Hogyan lehetséges?
A biztonsági rés oka, hogy a bővítmény egyik funkciójánál (GOTMLS_ajax_scan) hiányzik a megfelelő jogosultság‑ellenőrzés. Ez azt jelenti, hogy akár egy alacsony jogosultságú, de bejelentkezett felhasználó is hozzáférhet bizalmas szerverfájlokhoz. Különösen veszélyes, mivel a legtöbb WordPress‑oldalon elérhető a regisztráció előfizetőknek vagy hozzászólóknak, akik így kihasználhatják a hibát.
Gyors javítás, elhúzódó veszély
A hibát 2024. október 14‑én jelentették a fejlesztőnek, aki másnap kiadta a javított, 4.23.83‑as verziót. A frissítést már körülbelül 50 000 oldal telepítette, ám nagyjából ugyanennyi továbbra is sebezhető maradt. Egyelőre nem észleltek tömeges támadásokat, mégis minden érintettnek erősen ajánlott az azonnali frissítés, hiszen a hiba nyilvánosságra kerülése után bármikor tömegesen támadhatják az elavult oldalakat.
