Claro concuerdo contigo, el primer error, desde mi punto de vista, es que el desarrollador no haya salido a dar la cara y hacer publica la vulnerabilidad. Entiendo perfectamente que publicar una vulnerabilidad es un arma de 2 filos, pero no expliques como atacarla, solo avisa a tus usuarios que deben actualizar y no solo lo agregues en el changelog, ese archivo lo revisa el 1%.

Segundo, Aquí entra el tema de incluir plugins de terceros en themes premium, la mayoría de los desarrolladores de themes no actualizan los plugins que vienen incluidos. Si, tal vez ThemePunch hizo el fix 29 versiones atrás pero estoy seguro que los cientos de themes que usan su plugin no han hecho el update, primero por que no tiene un sistema de autoupdate y segundo por la desidia o falta de conocimiento de los desarrolladores.

De cualquier forma al día de hoy aun hay miles de sitios afectados, ayer hice algunas pruebas y el 95% de los sitios con este plugin eran vulnerables.