Dzisiaj updatowałem silnik do wersji 2.5.1. Jakieś 2 tygodnie wcześniej została wydana Final version oznakowana 2.5, przy której widniała informacja że jest mniej dziurawa niż wcześniejsze jajko. Widocznie Twórcy WP troszkę się pospieszyli i nie wyłapali wszystkich błędów, czego dowodem była szybka reakcja i poprawka z numerem 2.5.1

Z informacji zaczerpiętej z strony z zespołu LogicalTrust firmy IT BCE wynika iż poprawiony błąd znajdował się w pliku wp-admin/includes/media.php, a do przeprowadzenia ataku XSS intruz potrzebował działającego konta użytkownika serwisu. Dołączając do łańcucha URL spreparowany parametr tab i/lub type był on w stanie wprowadzić do kodu strony dowolną zawartość, ponieważ łańcuch ten nie był właściwie filtrowany. Deweloperzy naprawili usterkę dodając wywołanie funkcji o nazwie attribute_escape().