В популярной CMS WordPress (до версии 4.6.1) обнаружена XSS-уяззвимость. Она несет в себе опасность выполнения межсайтового скриптинга (XSS) и существует из-за небезопасной обработки имен файлов-изображений. Злоумышленник может использовать эту уязвимость, вставив вредоносную составляющую в имя изображения.

Злоумышленник может сформировать файл с вредоносым пейлоадом и загрузить его на веб-сервер.

Пример названия файла:

persistentxss<img src=a onerror=alert(document.cookie)>.jpg

WordPress обработает этот файл и сформирует ссылку на изображение, в том числе и в виде  т.н. attachment page:

http://wordpressvulnsite/persistentxss/

Таким образом будет реализован вектор хранимой XSS для дальнейшей реализации атаки.

Использование Web Application Firewall позволяет блокировать подобные атаки даже при наличии уязвимости "нулевого дня".