Gerade eben bin ich über einen Artikel auf heise.de gestolpert, der über einen Report im Bugtrack auf insecure.org berichtet. Demzufolge sind einige WordPress-Themes anfällig gegen XSS-Attacken.

Wegen einer ungeprüften Verwendung von $_SERVER['PHP_SELF'] in der sidebar.php und der searchform.php kann bei Blogs, die über eine eigene, aus WordPress heraus angezeigte 404-Fehler-Seite verfügen, über die URL eingeschleuster Code ausgeführt werden. Durch eine einfache kleine Änderung in der Theme-Datei wird diese Lücke geschlossen.

Ich habe das gerade mal bei meinen und anderen WordPress-Installationen ausprobiert, und die betroffenen Blogbetreiber per Mail unterrichtet.