heise berichtete, dass es in diversen Themes für WordPress, darunter auch das Standard-Theme, eine XSS-Lücke gibt.
Ihr könnt sehr einfach testen ob euer Theme ebenfalls betroffen ist, indem ihr ihn mit dieser Adresse aufruft:
http://<URL>/index.php/index.php/"><script>alert()</script>
Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes/Theme-Name/ – in den Dateien searchform.php und sidebar.php nach dem Ausdruck
action="<?php echo $_SERVER['PHP_SELF']; ?>"zu suchen und ihn durch
action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"zu ersetzen. Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.
Ich höre das nächste Update schon trapsen! 
wie schön, das ich solchen mist nid in meine themes eingebaut habe
Einmal ne 404 und einmal nen Redirect auf die Hauptseite… ich kann mich zufrieden schätzen