Het lek is ontdekt door de freelance security consultant Ryan Dewhurst. De maker van kwetsbaarheidscanner WPScan trof het aan in versies 1.7.3.3 en ouder van Wordpress SEO van Yoast. Volgens de bekende beveiligingsonderzoeker Graham Cluley van Sophos een gratis plug-in die erg goed is in wat het doen moet: voor optimalisatie zorgen.

Theoretisch gezien is authenticatie nodig om misbruik te maken van het lek. Dit is echter te omzeilen door Wordpress-eigenaren een malicieuze link of pagina te laten openen, aangezien er bescherming tegen cross-site request forgery (CSRF) ontbreekt.

Disclosure uit het boekje

Gebruikers van de populaire SEO-plug-in, volgens PCWorld ruim een miljoen Wordpress-sites, moeten per direct updaten. Dat kan al omdat Yoast versie 1.7.4 reeds klaar heeft staan, net als versie 1.5.3 van de betaalde uitvoering van de plug-in.

Het Nederlandse SEO-bedrijf dat met 17 man sterk opereert vanuit het Gelderse Wijchen, dankt Dewhurst voor het melden. Cluley noemt het melden en snel patchen een schoolvoorbeeld van responsible disclosure.