Плагин Media Library Assistant для WordPress уязвим для включения локальных файлов и удаленного выполнения кода в версиях до 3.09 включительно. Это связано с недостаточным контролем путей к файлам, поставляемым параметру ‘mla_stream_file’ из файла ~/includes/mla-stream-image.php, где изображения обрабатываются через Imagick(). Это позволяет не прошедшим проверку подлинности злоумышленникам поставлять файлы через FTP, которые позволят составлять списки каталогов, включать локальные файлы и выполнять удаленный код.