Da Wordpress hochgeladene Dateien nicht genau genug überprüft, ist es möglich, PHP-Code als Bilddatei zu tarnen. Ein Angreifer muss dazu nur eine .phtml-Datei mit beispielsweise einer .gif-Endung versehen,
berichtet Secunia. So kann er bösartigen PHP-Code auf den Webserver schleusen.
Die Experten stufen die Lücke allerdings nur als mittelmäßig kritisch ein, weil es zwei Faktoren gibt, die die Gefahr bannen. Das Abladen von Schadcode funktioniert nur, wenn der Angreifer im Backend "Autor"-Rechte hat. Außerdem muss der Apache-Server so konfiguriert sein, dass er den Mime-Typ für Mediendateien wie .gif und .jpeg ignoriert.
Wer ein Wordpress-Blog unterhält, sollte dennoch sichergehen und den Zugang zum Wordpress-Verzeichnis für Uploads (wp-content/uploads) beschränken. Eine Aktualisierung der Software hilft im Moment nicht, da der Fehler die aktuelle Wordpress-Version 3.1.2 (und möglicherweise auch ältere) betrifft.