昨日，互联网上公开了Wordpress <= 4.9.6的任意文件删除漏洞及分析利用材料。该漏洞影响Wordpress全部版本（<= 4.9.6）。在攻击者获得基础权限后，可升级角色权限，从而做到任意文件删除并在服务器上至下任意代码。

漏洞概述

Worspress是如今使用最为广泛的一套内容管理系统。

Wordpress <= 4.9.6存在任意文件删除漏洞，在攻击者获得编辑和删除媒体文件的权限前提下，利用此漏洞，攻击者能够删除Wordpress安装的任何文件，若没有及时备份可导致灾难性后果；同时，攻击者可利用任意文件删除功能绕过一些安全措施，并在WEB服务器上执行任意代码。

漏洞危害

在攻击者获得编辑和删除媒体文件的权限前提下，利用此漏洞，攻击者能够删除Wordpress安装的任何文件，若没有及时备份可导致灾难性后果；同时，攻击者可利用任意文件删除功能绕过一些安全措施，并在WEB服务器上执行任意代码。

受影响范围

Wordpress <= 4.9.6

修复建议

目前，互联网上有临时修复方案，建议用户做好网站备份并根据实际情况实施修复。

临时修复方案：https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

官方修复信息尚未发布，建议用户及时关注官方平台发布的修复信息。

官方参考链接：https://wordpress.org/