Данная уязвимость позволяет злоумышленнику использовать файл example.html, который поставляется вместе с пакетом иконок Genericons, для внедрения произвольного кода JavaScript. Это дает возможность атакующему прочитать куки посетителей и получить доступ в административную панель WordPress.
Сотрудники Sucuri также опубликовали пример запроса, раскрывающий данную уязвимость:
http://example.org/wp-content/themes/twentyfifteen/genericons/example.html#1<img src=1 onerror=alert(1) />
Обновление Jetpack 3.5.3 устраняет эту уязвимость, но Jetpack далеко не единственный продукт использующий данный пакет иконок. Всем пользователям WordPress рекомендуется проверить все (активные и неактивные) темы и плагины на наличие файла example.html, чаще всего в директории genericons или css/genericons, и удалить этот файл, или запретить его отображение с помощью конфигурации веб-сервера.
Многие хостинг-провайдеры уже позаботились о безопасности своих клиентов и избавились от этого файла на своих площадках.
Обновление: WordPress 4.2.2 ищет и удаляет файлы example.html из директорий themes и plugins при обновлении.
Будьте осторожны!