Уязвимость актуальна на блогах с возможностью регистрации пользователей.  В одном случае злоумышленник может выполнить XSS-атаку, в другом, мог загрузить файл с вредоносным кодом.

Как обновить WordPress 2.8.6:
В админке уже появилось предупреждение и предложение обновиться.

Изменениям подверглись следующие файлы:
wp-admin/
press-this.php

wp-includes/
formatting.php
functions.php
version.php

Их и нужно заменить.

Скачать русский WordPress 2.8.6
Скачать английскую версию вордпресс 2.8.6

Берегите блоги. =)

A fix for the Trackback Denial-of-Service attack that is currently being seen.
Removal of areas within the code where php code in variables was evaluated.
Switched the file upload functionality to be whitelisted for all users including Admins.
Retiring of the two importers of Tag data from old plugins.

Больше всего заинтересовала первая стока: «Фикс для предотвращения DoS атаки через трекбек». Другими словами, очередная уязвимость, с помощью которой злоумышленник может подвесить ваш блог на Вордпрессе через файл wp-trackback.php. Пока не появилось обновление вордпресс 2.8.5, предложены такое варианты фикса:

исправления в wp-trackback.php
исправления в functions.php

—

Скачать Вордпресс 2.8.5

—
АПД:
Как подсказывают те, кто уже поковырялся в новой версии 2.8.5 Изменены следующие файлы:

В корне -
wp-trackback.php,

В wp-includes -
theme.php,
formatting.php,
version.php

В wp-admin -
page.php
post.php