Die Blog-Software WordPress wurde am 11. September in Version 3.6.1 veröffentlicht. Die Release enthält zahlreiche Sicherheitspatches, die Sicherheitslöcher älterer Versionen schließen. Durch diese Schwachstellen konnten entfernte Angreifer unter anderem Befehle mit höheren Rechten auf dem betroffenen System ausführen
Das Ausführen von Schadcode ist durch einen Programmierfehler im PHP De-Serialization Code möglich (CVE-2013-4338), und lässt sich durch das Senden geschickter Daten an WordPress auslösen.
Ein weiteres Problem führte dazu, dass ein angemeldeter Anwender mit Author-Rechten im Namen anderer Benutzer des Systems Nachrichten posten kann (CVE-2013-4340).
Außerdem gab es eine Schwachstelle im Redirect-Verhalten von WordPress (CVE-2013-4339), wodurch Benutzer der Seite auf andere Websites weitergeleitet werden konnten.
Betroffen sind die Versionen vor 3.6.1.

