El recientemente premiado plugin WP Comment Remix tiene notificado varias vulnerabilidades en SecurityFocus que permiten a los atacantes remotos un elenco de posibilidades, como son la inyección SQL, el Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF).

La inyección SQL es posible por un despiste en lso filtrados en el envio de los comentarios en la variable post ID.

El Cross-Site Scripting  por un despiste en el filtrado o sanitización o por el escape varias opticiones.

El Cross-Site Request Forgery es causado por un despiste en la opciones del formulario.
Se publica prueba de concepto, y aunque la fecha es de ayer, la nueva versión disponible 1.4.4 no aclara si es precisamente una revisión a estas vulnerabilidades.

Este plugin ya ha destacado por ser el ganador del concurso de plugins de WordPress, WordPress Plugin Competition 2.5, y de la polémica de este premio a raíz de los múltiples errores en distintas instalaciones de usuarios, que provocan el mal funcionamiento de WP o del propio plugin, como podemos ver en MangasVerdes