資安廠商 Wordfence 於日前發表研究報告，指出一個使用相當廣泛的 WordPress 擴充套件「File Manager」，含有一個嚴重的 0-day 資安漏洞；駭侵者可透過此漏洞遠端執行任意程式碼。

File Manager 是個可讓 WordPress 管理者更方便地管理網站內檔案的擴充套件；為達到此一目的，File Manager 使用了一個叫做 elFinder 的程式庫，該漏洞就發生在 File Manager 為了直接執行 php 程式碼而修改了 elFinder 中的 connector.minimal.php.dist 檔名為 connector.minimal.php，而這個檔案實際上並無作用，而且也未設有任何存取限制，導致駭侵者可以利用這個漏洞植入惡意程式碼。

據 Wordfence 的報告指出，這個 0-day 漏洞主要影響的 File Manager 版本為 6.0 到 6.8，其 CVSS 危險評分高達滿分的 10.0 分。

據估計，安裝了 File Manager 的 WordPress 網站約有七十萬個；File Manager 的開發者也已釋出資安修補更新版本；用戶只要將 File Manager 擴充套件升級到 6.9 版即可。