De kwetsbaarheid in de CMS-pakket is ontdekt door Jon Cave van het WordPress security team. Door het misbruiken ervan kunnen aanvallers door het vervalsen van authenticatiecookies WordPress-systeem binnenkomen, legt hoofdontwikkelaar Andrew Nacin uit op het WordPress-blog.

Het lek betreft de huidige versie 3.8 maar ook de voorgaande versie 3.7 én de testversie die reeds in gebruik is voor versie 3.9, waarvan de definitieve release gepland staat voor komende dinsdag.

Meer lekken en bugs

Gebruikers worden dan ook "sterk aangeraden" om direct hun sites te updaten naar WordPress 3.8.2. Die update is ook voorzien van patches voor drie kleinere beveiligingsproblemen en een negental bugs. Onder meer het uitvoeren van een "low impact" SQL-injectie en een mogelijkheid tot cross-domain scripting in bestand-uploader Plupload worden daarmee uitgebannen.

Het downloaden van veilige versie 3.8.2 kan via het Dashboard-menu onder het kopje Updates en het vervolgens klikken op 'Update Now'. Alle websites die automatisch updaten hebben aanstaan hebben de update naar WordPress 3.8.2 inmiddels gekregen.

1 op de 5 sites

Oprichter Matt Mullenweg van Automattic, het bedrijf achter WordPress, liet vorig jaar zomer op een conferentie in San Francisco los dat 18,9 procent 'van het web' gebruik maakt van de open source weblog-software.

Lees verder: 3 vragen over het beveiligen van WordPress