Кликки Ой описал новую XSS-уязвимость, которая затрагивает комментарии и существует в WordPress 4.2, 4.1.2, 4.1.1 и 3.9.3. Эта уязвимость позволяет неаутентифицированному злоумышленнику провести инъекцию JS с помощью комментариев. Действие вызывается тогда, когда администратор просмотрел комментарий. «Если комментарий просмотрен администратором, злоумышленник мог использовать уязвимость для выполнения произвольного кода на сервере через редакторы плагинов и тем. Альтернативно злоумышленник мог сменить пароль администратора, создать новые администраторские аккаунты, либо сделать что-то еще, что может…