O plugin deixa milhares de sites wordpress expostos a uma vulnerabilidade de elevação de privilégios, se devidamente explorada. A falha pode ser explorada por atacantes para atualizarem opções de forma arbitrária.

É estimado que este plugin tenha sido instalado em mais de 30.000 sites.

A falha está essencialmente no ficheiro yellow-pencil.php, e é um ficheiro que verifica se o parâmetro yp_remote_get pertencente ao pedido foi configurado, e em caso afirmativo, consegue escalar os privilégios do utilizador e torna-o administrador. Desta forma, um utilizador não autenticado pode operar com privilégios de administrador e, mudar, por exemplo, outras opções de forma arbitrária.

Fonte: https://www.bleepingcomputer.com/news/security/thousands-of-wordpress-sites-exposed-by-yellow-pencil-plugin-flaw/