Est-ce que Wordpress est vulnérable à la "falsification de commentaire en commentaire"?

J'ai récemment analysé mon site Wordpress en utilisant le service d'analyse de sécurité de 6scan . Il signalait une vulnérabilité de gravité élevée: "un commentaire Wordpress publiant une contrefaçon".

Détails techniques de 6scan:

• Le rapport 6scan indique "La vulnérabilité de CSRF dans permet aux utilisateurs malveillants de créer de fausses publications". Il dit que l'URL affectée est /wp-comments-post.php.

• Lorsque je clique sur le lien du rapport 6scan pour plus de détails techniques, il me dirige vers cette page , qui est une page générique qui fait référence aux vulnérabilités zéro jour ( c'est-à-dire les vulnérabilités révélées à l'équipe Wordpress mais non connues publiquement). Cependant, cette page n'a pas été mise à jour depuis le 17 juillet 2012 (il y a presque un an) et il n'y a aucune mention spécifique de cette vulnérabilité CSRF.

• Le rapport 6scan suggère également un moyen de résoudre le problème manuellement: il suggère de modifier manuellement wp-comments-post.php pour ajouter du code qui vérifie en gros que $_SERVER[ "HTTP_REFERER" ] correspond à $_SERVER[ "HTTP_Host" ].

J'utilise Wordpress 3.5.1 (actuellement la version la plus récente). Wordpress est-il vraiment vulnérable à une vulnérabilité de type "commentaire de commentaire de message falsifié"? Ou le rapport 6scan est-il faux?

Je sais que les anciennes versions de Wordpress comportaient certaines vulnérabilités CSRF, mais je crois que celles-ci ont été corrigées. Personnellement, je trouve assez crédible la prétention d'une vulnérabilité - mais je pensais pouvoir vérifier auprès des autres.