Ah, cette XSS est en fait la possibilité d'uploader un PDF qui affiche un message d'alerte avec du texte.
Ce n'est pas vraiment une XSS puisque lorsqu'on ouvre un PDF depuis le navigateur, on est dans une sandbox.
J'ai eu une discussion avec VulnDB.
Je leur ai dit que WordPress est vulnérable à cela et que ça n'a pas été rapporté, c'est donc peut-être pas une vraie XSS.
Ils ont insisté pour dire "oui, mais c quand même une XSS, nia nia nia on est donc obligé de la rapporter".
https://vuldb.com/?id.258911
Frayed0324 permettrait d'éviter la XSS notamment présente dans la démo.
Si vous avez trouvé une vraie XSS, merci de la rapporter dans une issue privée sur GitLab.
Frayed0324 vu comment WordPress a à cœur [...] de saper le travail de certains
Saper le travail de certains ?