Soy un desarrollador para un proyecto de código abierto llamado WPScan , un escáner de vulnerabilidad de WordPress.
Habiendo hablado con uno de los principales desarrolladores de WordPress hace un par de semanas sobre este problema, WordPress vio esta vulnerabilidad en particular como de bajo riesgo. Sin embargo, será parcheado en la nueva versión que debería ser cualquier día.
Acabo de implementar un "arreglo" rápido en mi blog personal para evitar la explotación de esta vulnerabilidad.
En wp-admin/includes/dashboard.php
comente las líneas 1065-1093. Esto comenta el contenido de la función wp_dashboard_rss_control
que recibe la variable $_POST['widget-rss'][$number]
controlable por el usuario, la cual es necesaria para aprovechar esta vulnerabilidad.
Esto evitó la explotación de la vulnerabilidad. No noté ningún otro efecto adverso al hacer esto en mi blog, sin embargo, hacerlo puede afectar algunas otras partes del sistema, pero no vi esto.
Lo anterior es una opción si no puede esperar unos días o una semana para que WordPress lance la versión parcheada.
Si desea un blog más seguro además de aprobar PCI, consulte WPScan.