Aca dejo el link al advisorie (al aviso de la misma :P)

http://neosecurityteam.net/advisories/Advisory-17.txt

Extraigo esto nada mas que es lo util jeje, como solucionarlo:

- Solutions
---------------------------------------------------------------
- Cross Site Scripting (XSS):
A partir de la linea 21 de 'wp-comments-post.php' agregar lo siguiente en donde corresponda:
$comment_author = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url = htmlentities(trim($_POST['url']));
$comment_content = htmlentities(trim($_POST['comment']));

- Full Path Disclosure & Directory Listing:
Agregar lo siguiente en la primer linea de cada archivo, en algunos hara falta encerrarlo entre <?php y ?>

if (eregi('NOMBRE-DEL-ARCHIVO-A-PARCHEAR.php', $_SERVER['PHP_SELF']))
die('You are not allowed to see this page directly');