De Twentig plugin voor WordPress is kwetsbaar voor Stored Cross-Site Scripting via de 'featuredImageSizeWidth' parameter in versies tot en met 1.9.7 vanwege onvoldoende invoer opschoning en uitvoer ontsnapping. Dit maakt het mogelijk voor geauthenticeerde aanvallers, met Contributor-level toegang en hoger, om willekeurige webscripts te injecteren in pagina's die worden uitgevoerd wanneer een gebruiker een geïnjecteerde pagina bezoekt.