A Hispasec comenten una vulnerabilitat de WordPress provocada per:
Las entradas pasadas a la variable “PHP_SELF” no se limpian de forma adecuada antes de mostrarse al usuario. Esto puede emplearse para ejecutar HTML arbitrario y código script en el navegador del usuario.
De moment no hi ha cap release final que solucioni aquest forat.