WordPress plugins en thema’s die gebruikmaken van genericons blijken kwetsbaar te zijn voor een DOM-gebaseerde Cross-Site Scripting aanval (XSS), zo meldt Sucuri. De kwetsbaarheid doet zich voor op een onnodige voorbeeldpagina waarop alle iconen getoond worden. Het feit dat één van de basisthema’s die meegeleverd worden bij iedere WordPress installatie gebruik maakt van genericons zorgt ervoor dat er potentieël zeer veel website kwetsbaar zijn. Het TwentyFifteen thema, waar het hier om gaat, hoeft daarbij niet geactiveerd te zijn.
Een aanvaller kan de kwetsbaarheid misbruiken door een URLte bouwen met daarin kwaadaardige code. Wanneer deze URL vervolgens aangeroepen wordt, kan in het ergste geval de website overgenomen worden.
Het verwijderen van de example.html pagina die bij genericons wordt meegeleverd verhelpt het beveiligingsprobleem.