WP User Frontend Pro <= 4.1.3 - 认证 (订阅者+) 任意文件删除

攻击者利用此漏洞可以删除服务器上的任意文件。最严重的后果是删除关键配置文件，例如 wp-config.php，这可能导致远程代码执行 (RCE)。攻击者可以通过删除其他重要文件来破坏网站的正常运行，例如主题文件或插件文件。由于 WordPress 插件的广泛使用，此漏洞的潜在影响范围非常广泛，可能影响大量网站的安全。如果攻击者能够成功执行代码，他们可以完全控制受影响的网站，窃取敏感数据，或将其用于恶意目的。

WordPress sites utilizing the WP User Frontend Pro plugin, particularly those with a large number of users with Subscriber or higher roles, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites relying on older, unpatched versions of the plugin are most exposed.

• wordpress / composer / npm:

grep -r 'delete_avatar_ajax' /var/www/html/wp-content/plugins/wp-user-frontend-pro/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'wp-user-frontend-pro'

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/plugins/wp-user-frontend-pro/ | grep -i 'wp-config.php'

1. 2025-06-05Disclosure

   disclosure

1. 已保留2025-03-31
2. 发布日期2025-06-05
3. 修改日期2026-04-08
4. EPSS 更新日期2026-03-23

立即升级 WP User Frontend Pro 插件至 4.1.4 或更高版本是缓解此漏洞的首要措施。如果无法立即升级，可以考虑临时禁用插件以降低风险。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止对 deleteavatarajax() 函数的恶意请求。监控 WordPress 网站的日志文件，查找任何可疑的文件删除活动，例如对 wp-config.php 的访问尝试。升级后，请验证插件是否正常运行，并检查网站文件是否完整。