WordPress 的 Perfmatters 插件在所有版本中（包括 2.5.9）存在路径遍历漏洞，可能导致任意文件覆盖。这是因为 `PMCS::action_handler()` 方法在没有进行任何授权检查或 nonce 验证的情况下处理批量操作 `activate`/`deactivate` 处理程序。`$_GET['snippets'][]` 值被未经过滤地传递到 `Snippet::activate()`/`Snippet::deactivate()`，后者调用 `Snippet::update()` 然后使用遍历的路径调用 `file_put_contents()`。这使得经过身份验证的攻击者（具有订阅者级别或更高的访问权限）能够使用固定的 PHP 文档块内容覆盖服务器上的任意文件，从而可能通过破坏关键文件（如 .htaccess 或 index.php）导致服务中断。

该漏洞允许具有订阅者级别或更高权限的认证攻击者，通过 activate/deactivate 操作，利用 $_GET['snippets'][] 参数中的路径遍历漏洞，覆盖任意文件。攻击者可以修改关键配置文件，植入恶意代码，甚至完全控制 WordPress 网站。由于 WordPress 插件的广泛使用，该漏洞可能影响大量网站，造成严重的安全风险。如果攻击者能够成功覆盖核心 WordPress 文件，则可能导致整个服务器被攻陷，造成数据泄露和业务中断。

WordPress websites utilizing the Perfmatters plugin, particularly those with Subscriber-level users or higher, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable. Sites with outdated plugin versions or those lacking robust security practices are also at increased risk.

• wordpress / composer / npm:

grep -r "Snippet::update\(" /var/www/html/wp-content/plugins/perfmatters/

• generic web:

curl -I http://your-wordpress-site.com/wp-admin/admin-ajax.php?action=pmcs_action_handler&snippets%5B%5D=../../../../etc/passwd

• wordpress / composer / npm:

wp plugin list --status=all | grep perfmatters

1. 2026-04-10Disclosure

   disclosure

1. 已保留2026-03-17
2. 发布日期2026-04-10
3. 修改日期2026-04-13
4. EPSS 更新日期2026-04-17

最有效的缓解措施是立即将 Perfmatters 插件升级至 2.6.0 或更高版本。如果无法立即升级，可以考虑暂时禁用 Perfmatters 插件，以防止攻击者利用该漏洞。此外，建议审查 WordPress 网站的权限设置，确保只有授权用户才能执行敏感操作。如果服务器配置允许，可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求，阻止攻击者利用路径遍历漏洞。