Die Schwachstelle steckt im WordPress-Theme Xstore. Sie entsteht dadurch, dass das Theme einen über eine AJAX-Aktion übergebenen Parameter nicht ausreichend bereinigt und maskiert, bevor er in einer SQL-Abfrage verwendet wird. Daraus ergibt sich eine SQL-Injection: Ein Angreifer kann eigene SQL-Befehle in die Datenbankabfrage einschleusen. Besonders kritisch ist, dass die betroffene AJAX-Aktion unauthentifizierten Nutzern offensteht – der Angriff erfordert also weder eine Anmeldung noch gültige Zugangsdaten und lässt sich aus der Ferne durchführen. Über die manipulierte Abfrage kann ein Angreifer auf Inhalte der zugrunde liegenden Datenbank zugreifen, sie auslesen und je nach Konfiguration verändern – darunter potenziell sensible Daten der WordPress-Installation wie Benutzerkonten und Zugangsdaten. Betroffen sind Websites, die das Xstore-Theme einsetzen.