Seit Kurzem ist eine Sicherheitslücke bekannt, die dann auftritt, wenn man die Funktionen

add_query_arg()

und

remove_query_arg()

nicht richtig verwendet.