独RIPS Technologiesの公式ブログによれば、バージョン「4.9.6」以前には、メディアファイルの編集／削除権限を持つユーザーが、アップロードディレクトリ外にある本来は削除できない「.htaccess」「index.php」「wp-config.php」の各ファイルを、削除できてしまう脆弱性が存在しているという。

ikeasiの日記

「WordPress 4.9.7」公開、任意のコードを実行される脆弱性など不具合17件を修正 - INTERNET Watch