WP Media hat eine XSS Schwachstelle der höchsten Art in dem Plug-In “W3 Total Cache” gemeldet und fordert Nutzer dazu auf, dass Plug-In vorübergehend zu deaktivieren.
El Rincón de Zerial’s wurde auf die Sicherheitslücke aufmerksam und berichtete darüber in seinem Sicherheits-Blog. Die Schwachstelle befindet sich im Plug-In Support Formular, welches in der Admin-Area eingebettet liegt, und laut Zerial sehr einfach manipuliert werden kann. Eine korrigierte Version ist derzeit nicht verfügbar. Das letzte Update, welches zwei Sicherheitsprobleme eliminierte, wurde vor sechs Monaten freigegeben. Die einzige Lösung des Problems ist das Plug-In zu deaktivieren bis ein Update bereitgestellt wird.
Das WordPress Plug-In, dass auf WordPress.org angeboten wird, ist derzeit auf über einer Million WordPress Seiten aktiv.