Cette faille est de type injection SQL, elle s'applique sur la méthode read des objets en lui passant un demande mal formé qui permet d'injecter des requêtes de MAJ des mot de passes utilisateur, et ainsi permettre un connexion future avec ces nouveaux mot de passe.

La version 5.0.5 sortie la semaine corrige cette vulnérabilité. vous êtes inviter à mettre le plus rapidement possible à jour votre version si celle-ci est accessible au travers d'internet sans protection (accès directe en XMLRPC ou NETRPC)

La version est disponible ici