多达 130 万个网站安装的3个流行文件管理器插件存在 WordPress 漏洞，可导致任意文件删除，请尽快更新到最新版，或禁用插件！

针对三款 WordPress 文件管理插件发布安全公告，这些插件存在一个漏洞，允许未经身份验证的攻击者删除任意文件。这三款插件已安装在超过 130 万个网站中。

过时的 elFinder 版本

该漏洞是由 elFinder 文件管理器的旧版本（具体来说是 2.1.64 及更早版本）引起的。这些版本包含目录遍历漏洞，允许攻击者操纵文件路径以访问目标目录之外的内容。通过发送包含诸如example.com/../../../../之类的序列的请求，攻击者可以让文件管理器访问并删除任意文件。

受影响的插件

Wordfence 将以下三个插件列为受此漏洞影响的插件：

1. File Manager WordPress Plugin
安装量：100 万

2. Advanced File Manager
安装量：200,000+

3. File Manager Pro – Filester
安装量：100,000+

根据Wordfence 的公告，该漏洞无需身份验证即可利用，但前提是网站所有者已将文件管理器公开，这降低了漏洞被利用的可能性。不过，其中两个插件在其更新日志中指出，攻击者至少需要订阅者级别的身份验证，这是网站凭证的最低级别。

该漏洞一旦被利用，将导致任意文件被删除。上述 WordPress 插件的用户应考虑更新至最新版本。