Los investigadores de RIPS Technologies descubrieron actualmente que una vulnerabilidad combinada por Path Traversal (permitiendo establecer valores arbitrarios) y Local File Inclusion (fallo en el directorio “theme”) es capaz de ejecutar código malicioso de forma arbitraria en cualquier sitio de WordPress que tenga instalado un plugin que manipule de manera incorrecta entradas Post Meta.

En el siguiente video publicado por el investigador a cargo se aprecia cómo es posible ejecutar el ataque en solo unos segundos.

Si bien WordPress ya está trabajando en un parche para reparar el error, de momento el fallo aún está activo. Se recomienda actualizar a la versión 5.0.3 que es la última disponible.