2019年2月20日，阿裏雲雲盾應急響應中(zhōng)心監測到有國外(wài)安全研究人員(yuán)披露WordPress存在遠程代碼執行漏洞，擁有Author發布文章權限的攻擊者，可在目标 WordPress站點服務器執行任意PHP代碼。

漏洞描述

由于沒有安全檢查，文章作者更新圖片時，edit_post()函數會被觸發，該函數直接處理了$_POST數據，可導緻惡意圖片文件傳遞至網站任意目錄，通過文件包含，最終可實現遠程代碼執行漏洞。

漏洞評級

高危

影響版本

WordPress 5.0.0

WordPress 4.9.8 及之前的版本

安全建議

升級至WordPress 最新版本，官方下(xià)載鏈接：https://wordpress.org/download/