WordPress 上廣為使用的檔案管理擴充套件 wp-file-manager，日前遭發現一個嚴重資安漏洞，可能遭駭侵者用以遠端執行任意程式碼；該漏洞已遭駭侵者用以大規模發動攻擊，使用此擴充套件的 WordPress 管理者，應儘速更新以避免遭此漏洞影響。

這個漏洞出現在 The File Manager 處理檔案上傳使用的 connetor.mininal.php 程式碼中，這段程式碼可在未經授權的情形下存取，駭侵者因此可以上傳任意檔案到 WordPress 伺服器，遠端執行任意程式碼。

這個漏洞編號為 CVE-2020-25213，其 CVSS 危險程度評分高達 9.8 分。據資安專家指出，該漏洞在八月底開始遭到駭侵者用以攻擊 WordPress 伺服器，在八月最後一周，每天偵測到的攻擊次數超過 15,000 次。

存有此漏洞的 wp-file-manager 版本分別為：

• File Manager Plugin for WordPress 6.0 至 6.8
• File Manager Pro Plugin for WordPress 7.6 至 7.8

The File Manager 總下載次數超過 600,000 次，其開發者已於九月初提供升級版本供用戶下載，解決了這個嚴重漏洞。任何 The File Manager 用戶均應盡速下載更新至最新版本（目前為 6.9 版），以避免此漏洞帶來的資安風險。