关键漏洞信息 文件路径: wp-event-solution/trunk/core/Admin/Hooks.php 变更集编号: 3284545 提交时间: 2025年4月30日 05:02:09 AM (8天前) 提交者: ehsanriyadh 提交信息: 添加版本4.0.27 漏洞相关代码变更 新增代码: 关键点: - 使用 直接获取用户输入的 URL,可能存在远程文件包含(Remote File Inclusion, RFI)风险。 - 虽然有扩展名检查和同源检查,但如果这些检查不严格或被绕过,仍可能引发安全问题。 - 函数直接读取外部 URL 的内容,如果 URL 可控,攻击者可能利用此功能执行恶意操作。 安全建议 对用户输入进行严格的验证和过滤。 确保同源检查和文件扩展名检查的逻辑无误且无法被绕过。 考虑使用更安全的方式来处理外部资源的加载。