漏洞概述 漏洞名称: Frontend File Manager Plugin <= 23.6 - Author+ Arbitrary Post Deletion 漏洞描述: 该插件未能正确验证每个目标帖子的所有权,允许具有作者级别访问权限的用户永久删除任意帖子和页面。当管理员启用“允许访客上传”设置时,相同的删除原语对未认证用户变得可达。 影响范围 受影响插件: nmedia-user-file-uploader 修复方案: 暂无已知修复方案 参考信息 CVE编号: CVE-2026-8380 分类: 类型: 文件删除 OWASP Top 10: A6: 安全配置错误 CWE: CWE-73 CVSS: 6.5 (中等) 原始研究员: Tiago Ferreira 提交者: Tiago Ferreira 验证状态: 已验证 WPVDB ID: 45cbf74-45be-4cff-a81a-0fea903592a5 时间线 公开日期: 2026-06-04 添加日期: 2026-05-28 最后更新日期: 2026-05-28 其他 发布日期: 2023-03-28 标题: Easy Media Replace < 0.2.0 - Author+ File Deletion 发布日期: 2025-11-24 标题: AI Engine for WordPress: ChatGPT, GPT Content Generator <= 1.0.1 - Authenticated (Contributor+) Arbitrary File Read 发布日期: 2025-07-14 标题: Alone - Charity Multipurpose Non-profit WordPress Theme < 7.8.7 - Missing Authorization to Unauthenticated Arbitrary File Deletion 发布日期: 2026-05-06 标题: WP-Optimize < 4.5.3 - Author+ Arbitrary File Deletion via 'original-file' Post Meta 发布日期: 2024-12-20 标题: SMSA Shipping(official) < 2.4 - Authenticated (Subscriber+) Arbitrary File Deletion 概念验证代码