על פי דיווח של אתר Sucuri, התגלתה פרצת אבטחה stored Cross-Site Scripting – XSS באתרי וורדפרס בגירסה 4.8.1. מבדיקה עולה כי על מנת שפרצת האבטחה תשמש גורם צד שלישי לפגיעה באתר וורדפרס, צריך לפעול באתר חשבון בעל הרשאות Contributor או כל חשבון וורדפרס עם תוסף bbPress, כל עוד יש לו יכולות פרסום באתר (פרסום פוסטים אנונימיים אינו מחייב חשבון משתמש באתר וורדפרס). פגיעה באמצעות פרצת אבטחה זו מתרחשת בעורך הטקסט של וורדפרס האחראי ליצירה ועריכה של כל הפוסטים, הדפים והנושאים של וורדפרס (ב- bbPress).
פרצת האבטחה מאפשרת לחטוף חשבון המשתמש באופן בו כל התקנות וורדפרס בשרת עלולות להיות בסכנה. וקטור ה- XSS הפוגעני מסוגל לבצע תקשורת עם סקריפט זדוני חיצוני המבצע התקפות (CSRF) בין אתרים. על ידי פעולה בשם משתמש בעל הרשאות ניהול, האקר יכול לשלוח בקשות מאומתות כדי לערוך את קוד ה- PHP הנוכחי של האתר, מה שמוביל לביצוע פקודה מרחוק (RCE) ולהשתלטות מלאה על האתר.
המלצה גורפת וחד משמעית: לבצע עדכון לגירסת וורדפרס מוקדם ככל האפשר.