De multiples vulnérabilités ont été décelées sur Wordpress 3.3.1 et toutes les versions antérieures.
On doit ces trouvailles à TrustWave SpiderLabs et plus particulièrement à Jonathan Claudius.

Ces failles permettent l'exécution de code PHP via une faille XSS sur la page setup-config.php.
Cette page qui permet l'installation de Wordpress, se situant dans votre répertoire wp-admin, permet aux utilisateurs d'installer Wordpress sur une base de données locale ou distante. Cela nécessite en général des droits utilisateurs suffisants mais un utilisateur malveillant peut héberger son propre serveur de base de données et ainsi terminer l'installation de Wordpress sans avoir eu besoin de s'authentifier.

Cela peut permettre à cet utilisateur malveillant d'injecter du code PHP sur le serveur via l'éditeur de thèmes Wordpress. En outre, avec le contrôle de la base de données, du Javascript malicieux peut aussi être injecté.

Cela concerne principalement l'installation de Wordpress, c'est-à-dire que si vous dézippez Wordpress sur un serveur sans l'installer il pourrait se faire pirater. Par contre, pour les Wordpress déjà installés, il n'y a pas encore de patch car Wordpress préfère se pencher sur l'expérience utilisateur que sur la sécurité comme dit dans son communiqué à propos de cette faille...

TrustWave conseille de changer/renforcer le mot de passe de votre base de données. Et j'ajouterai que vous pouvez aussi renommer ou mettre de côté le fichier setup-config.php en attendant la prochaine version.

www.trustwave.com