La vulnerabilidad es del tipo Cross-site scripting (XSS), un vector de ataque habitual en aplicaciones Web y que permite inyectar código JavaScript o en otro lenguaje script para secuestrar sesiones de usuario y robar información confidencial.

Como en los casos de Disqus o de SEO Yoast, esta vulnerabilidad Cross-site scripting afecta a otros dos plug-ins muy utilizados: la herramienta de personalización JetPack usada en un millón de sitios web y el diseñador de temas Twenty Fifteen.

Ambos complementos utilizan un paquete conocido como genericons, lo que les pemite introducir iconos vectorizados en una fuente incluyendo un fichero vunerable de nombre “example.html”. Afortunadamente, la solución a esta vulnerabilidad es sencilla y pasa por eliminar el fichero genericons/example.html.

WordPress es fantástico y facilita enormemente la gestión y creación de contenido en millones de sitios web, pero el número de vulnerabilidades que le acosan es numerosa por lo que es recomendado mantener permanentemente actualizado el software y especialmente sus complementos, vía principal de ataques.

Fuente: muyseguridad