Уязвимость получила идентификатор CVE-2017-8295 и была обнаружена в июле 2016 года. Проблема опасна для всех версий WordPress, включая 4.7.4, и касается того, как CMS осуществляет сброс пароля. Опасно тем что ящик куда приходят письма может быть переполнен и письмо с паролем будет отправлено обратно или автоответчик прикрепит письмо к ответу и т.д.
В качестве временного решения проблемы эксперт предлагает включить UseCanonicalName, чтобы принудить переменную SERVER_NAME оставаться статической.
Собственно в файле настройки виртуального сервера в Apache включаем эту опцию /etc/apache2/sites-available/000-default.conf
<virtualhost *:80> ...
UseCanonicalName On ...
</virtualhost *:80>
По материалам сайта Хакер.