Den zuletzt angesprochenen Bug schließt die vor ein paar Tagen erschienene Version 2.2.1 – das deutsche Update-Paket gibt es hier.
Die Version 2.0.10 ist davon nicht betroffen.
Nachtrag:
Version 2.2.1 des populären Blog-Systems WordPress bringt nicht nur einige Fixes für simple Bugs mit, sondern stopft auch drei Sicherheitslöcher. So nutzt WordPress die Klasse PHPMailer, um Mails per sendmail oder PHPs mail() zu verschicken. Leider steckt in PHPMailer 1.7.3 eine Lücke, mit der es über präparierte Sender-Parameter möglich ist, Befehle an die Shell zu übergeben und ausführen zu lassen. […] Darüber hinaus ist in WordPress nun offiziell eine SQL-Injection-Lücke beseitigt, mit der unautorisierte Zugriffe auf die zugrunde liegende Datenbank möglich waren. […] Zuletzt haben die Entwickler noch ein Cross-Site-Scripting-Problem (XSS) im Default-Theme von WordPress behoben. […]
Quelle: heise