脆弱性を悪用すると、リモートのユーザーが管理用パスワードをリセットすることができてしまうという。

危険すぎる・・・ユーザ多いのに
関連: WordPressの更新版リリース、パスワードリセットの脆弱性に対処

... リセット後の新しいパスワードはアカウント所有者にメールで送信される。リモートからのアクセスに悪用することはできない...

ああ、ならいいね. といいつつ、管理者のメールアドレスがアカウント再利用可能なプロバイダでホスティングされていると穴になりうるけど.