27 апреля 2014 года на официальном сайте WordPress появилось обновление до версии 4.2.1. Это обновление является критическим и мы настоятельно рекомендуем обновить ваши сайты на cms WordPress до версии 4.2.1. Все предыдущие версии подвержены XSS уязвимости, которую могут эксплуатировать злоумышленники, если на сайте включены комментарии.
Уязвимость эксплуатируется при условии, что комментарий превысит стандартные для MySQL TEXT 64КБ, тогда он будет усечён при внесении в базу данных. Таким образом, такующий может оставить комментарий размеров 64 Кб, который попадёт в бд без проверки и может быть доступен посетителям сайта. Таким образом злоумышленник может внедрить JavaScript код, который будет исполнен в браузере посетителя, а если его просмотрит администратор сайта, залогинившись в админ-панели, то злоумышленник может создать свою учётную запись с правами администратора.