Saiu o WordPress 2.0.7: sim, uma semana depois do 2.0.6. Outra falha de segurança foi descoberta, dessa vez no próprio PHP; portanto a culpa nem era deles.
Só estão vulneráveis aqueles cujos servidores rodam PHP 4 anterior a 4.4.3 ou PHP 5 anterior a 5.1.4 com o register_globals setado (o que é uma má idéia, pra começo de conversa). No caso, um atacante pode executar código PHP arbritário sem intervenção de ninguém.
Todos devem atualizar, pois além da falha ter sido contornada, alguns outros bugs também foram resolvidos (um deles nas feeds RSS). Se você tem o 2.0.6, só é necessário dar upload nesses arquivos:
- wp-admin/inline-uploading.php
- wp-admin/post.php
- wp-includes/classes.php
- wp-includes/functions.php
- wp-includes/version.php
- wp-settings.php