Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости, позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере.

Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем пользователей ветки WordPress 3.x, поддержка которой прекращена. Для тех кто не может срочно мигрировать на ветку 4.0 подготовлены внеплановые корректирующие выпуски 3.9.3, 3.8.5 и 3.7.5.

По предварительной оценке проблема присутствует на примерно 86% сайтов, построенных с использованием WordPress.