Comme indiqué sur le site du découvreur : https://www.netsparker.com/blog/news/dom-xss-vulnerability-wordpress-default-theme-twenty-fifteen/
Les fichiers suivants ont été supprimés de 4.2.2 :
wp-content/themes/twentyfifteen/genericons/example.html (deleted)
wp-content/themes/twentythirteen/genericons/example.html (deleted)
wp-content/themes/twentyfourteen/genericons/example.html (deleted)
Voir : https://codex.wordpress.org/Version_4.2.2
Le problème avec la procédure de mise à jour via FTP est qu’elle ne supprime pas ces fichiers lors d’une mise à jour : elle remplace les anciens fichiers par les nouveaux, ceux existant sont conservés (cela permet de mettre à jour le dossier wp-content sans perte du site lui-même.
Ainsi, il est indispensable de supprimer ces fichiers soi-même via FTP avec Filezilla.