La vulnérabilité est activement exploitée, si l’on en croit des chercheurs de la société thaïlandaise de sécurité NinTechNet. Selon eux, l’exploitation a commencé quelques heures après la publication de la mise à jour correctrice.

La faille est utilisée par l’intermédiaire d’images spécialement conçues et comportant du code web. Les pirates peuvent alors exécuter du code dans le dossier plugins/wp-file-manager/lib/files/, et seulement là.

Une portée limitée, mais qui n’empêche pas l’installation de scripts qui, eux, pourraient faire plus de dégâts. En outre, la société de sécurité Wordfence estime que, couplée à d’autres éléments, la faille pourrait également permettre une escalade de privilèges, jusqu’à la prise de contrôle totale du site.

Il y a encore quelques jours, plus de la moitié des 700 000 installations étaient vulnérables. Le plugin a enregistré depuis un pic de mises à jour et la majorité des sites semblent maintenant hors de danger. Des désinstallations ont également eu lieu, le nombre d’installations actives ayant diminué à 600 000.