É uma falha de execução de código remota que pode ser explorada por um atacante com baixos níveis de privilégio e com pelo menos uma conta de "autor", usando a combinação de duas vulnerabilidades separadas - Path Traversal e LFI (Local File Inclusion) - localizadas na raiz do wordpress.

Quem tiver uma conta de autor comprometida ou desconhecida consegue modificar quaisquer entradas associadas a uma imagem ou alterá-las para quaisquer valores, o que leva à vulnerabilidade de Path Traversal. Esta falha, com conjunto com a de LFI poderá levar à possibilidade de execução de código remota no servidor e dessa forma obter o controlo total de um blogue em Wordpress.

Versões anteriormente vulneráveis mas corrigidas por outra falha

5.0.1 e 4.9.9: que foram corrigidas por uma vulnerabilidade que preveniu que utilizadores não autorizadas alterassem entradas Meta

Solução

Atualizar para a versão 5.0.3

Mais informações e detalhes técnicos aqui: https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/