Sono uno sviluppatore di un progetto open source chiamato WPScan , uno scanner di vulnerabilità di WordPress.
Avendo parlato con uno degli sviluppatori principali di WordPress un paio di settimane fa riguardo a questo problema, WordPress ha visto questa particolare vulnerabilità come a basso rischio. Tuttavia, verrà aggiornato nella nuova versione, che dovrebbe essere in qualsiasi momento.
Ho appena implementato una rapida "correzione" sul mio blog personale per prevenire lo sfruttamento di questa vulnerabilità.
In wp-admin/includes/dashboard.php
commenta le righe 1065-1093. Questo commenta il contenuto della funzione wp_dashboard_rss_control
che riceve la variabile $_POST['widget-rss'][$number]
controllabile dall'utente necessaria per sfruttare questa vulnerabilità.
Ciò ha impedito lo sfruttamento della vulnerabilità. Non ho notato nessun altro effetto negativo nel fare ciò sul mio blog, tuttavia, farlo potrebbe influenzare alcune altre parti del sistema, ma non l'ho visto.
Quanto sopra è un'opzione se non puoi aspettare qualche giorno o una settimana affinché WordPress rilasci la versione con patch.
Se vuoi un blog più sicuro oltre che passare il PCI, controlla WPScan.