Perfmatters <= 2.5.9.1 - Eliminação Arbitrária de Ficheiros Autenticada (Subscritor+) via Parâmetro 'delete'

O plugin Perfmatters para WordPress é vulnerável à eliminação arbitrária de ficheiros via path traversal em todas as versões até, e incluindo, a 2.5.9.1. Isto deve-se ao método `PMCS::action_handler()` processar o parâmetro `$_GET['delete']` sem qualquer sanitização, verificação de autorização ou verificação de 'nonce'. O nome do ficheiro não sanitizado é concatenado com o caminho do diretório de armazenamento e passado para `unlink()`. Isto torna possível que atacantes autenticados, com acesso de nível de Subscritor e superior, eliminem ficheiros arbitrários no servidor usando sequências de path traversal `../`, incluindo `wp-config.php`, o que forçaria o WordPress a entrar no assistente de instalação e permitiria a tomada total do site.