В популярном плагине WP-Testimonials версиях до 3.4.1 для WordPress обнаружена уязвимость, позволяющая злоумышленнику внедрить вредоносный код в один из параметров GET-запроса. 

WP-Testimonials предназначен для размещения отзывов посетителей на страницу веб-сайта. Плагин поддерживает возможность анонимного добавления, а также добавления различных медиафайлов.

Данная уязвимость возможна из-за недостаточной фильтрации входящих данных параметра testid:

Это приводит к тому, что любой пользователь, даже не прошедший проверку подлинности, может с помощью специально сформированного SQL-запроса выполнить произвольные действия в базе уязвимого приложения,
Пример эксплуатации:

http://[wordpress_site]/wp-admin/admin.php?page=sfstst_manage&mode=sfststedit&testid=-1 UNION ALL SELECT NULL,@@version,NULL,NULL,NULL,NULL,NULL,NULL--

Плагин удален из WordPress. Рекомендуется удалить данный плагин и дождаться выхода новой версии.

Использование Web Application Firewall позволяет блокировать подобные атаки.