افزایه JetPack و پوسته Twenty Fifteen از جمله ابزارهای آسیب پذیری هستند که گزارش هایی درباره سواستفاده از آنها توسط نفوذگران دریافت شده است.
به صورت پیش فرض، Twenty Fifteen در سامانه مدیریت محتوای WordPress نصب شده و در صورت فعال بودن سایت آسیبپذیر تلقی خواهد شد.
این ضعف امنیتی مربوط به بستهای با عنوان Genericons میشود. Genericons شامل یک فایل غیرامن بنام example.html است که سبب ایجاد آسیبپذیری می شود.
شناسایی ضعف امنیتی در بسته Genericons دشوار است. این ضعف از نوع XSS یا Cross Site Scripting است و سوء استفاده از آن در نتیجه ویرایش Document Object Model یا DOM در مرورگر امکان پذیر می گردد. تنظیمات DOM در مرورگر، نحوه دسترسی و نمایس فایلهای HTML و XML را مشخص می کند.
پس از نفوذ و دسترسی غیرمجاز، برنامه مخرب مستقیماً در مرورگر و بدون ارسال شدن به سرور اجرا میشود و در نتیجه حتی در صورت مجهز بودن سایت به دیواره آتش (Web Application Firewall) فرامین مخرب قابل اجرا خواهد بود.
برای سواستفاده موفقیتآمیز از این ضعف امنیتی قربانی میبایست بر روی یک لینک مخرب کلیک کند.
این ضعف امنیتی در نگارش 4.2.2 که روز پنچشنبه 17 اردیبهشت عرضه شد، ترمیم شده است.
تخمین زده میشود 23 درصد سایتهای بر روی اینترنت توسط WordPress مدیریت میشوند.