Über die Kommentarfunktion ist es Angreifern in der WordPress-Version 4.2 unter bestimmten Umständen möglich, die Webseite zu übernehmen. Auch ältere Versionen sind betroffen. Es handelt sich um eine Stored Cross-Site Scripting (Stored XSS) Lücke, bei der, der Angreifer Schadcode in einen Kommentar einbettet, der vom System gespeichert wird und wieder angezeigt werden muss, damit der Angriff wirksam ist. Wird der Kommentar von einem Administrator außerhalb der Admin-Seiten angeschaut, kann er dessen Account übernehmen.
Sicherheitslücke gefährdet aktuelle WordPress-Installationen