Les très réputés plugins WP Super Cache et W3 Total Cache pour Wordpress, téléchargés prés de 6 millions de fois, contiennent tous deux une vulnérabilité qui permettrait à un pirate d'exécuter du code PHP arbitraire sur le serveur.
Comme vous le savez sans doute si vous les utilisez, les plugins de cache sont conçus pour réduire la charge d'un site. Par exemple en sauvegardant les pages en mémoire et en les délivrant aux visiteurs via la mémoire plutôt que de les regénérer. Les versions à partir de la 1.2 de WP Super Cache et les versions à partir de la 0.9.2.8 de W3 Total Cache sont touchées par ce problème. Les utilisateurs doivent mettre à jour WP Super Cache (1.3.1) et W3 Total Cache (0.9.2.9) sans attendre.
Cette vulnérabilité a été rapportée sur les forums de Wordpress il y a plus d'un mois. Les mises à jour ont été effectuées il y a environ une semaine pour régler ce problème. Un article de blog expliquait comment fonctionnait la vulnérabilité : à l'aide de commentaires HTML. Un pirate pourrait commenter un message avec le code PHP intégré dans un commentaire et une fois que le commentaire est envoyé, le premier rafraichissement de la page exposerait le contenu de la page au code PHP envoyé.