RIPS Technologies 本周指出，WordPress 在权限处理方面的设计漏洞加上 WooCommerce 的文件删除漏洞，将允许黑客扩展权限，控制整个 WordPress 站点并执行远程程序攻击。

WordPress 和 WooCommerce 都是 Automattic 开发的产品。 WordPress 是一个开源内容管理系统（CMS），在 CMS 市场中占有 60％ 的市场份额。WooCommerce，它是一个免费的电子商务插件，全球有超过400万的安装，并有 30％ 的在线商店使用该插件。

RIPS 安全研究员 Simon Scannell 指出，WooCommerce 包含一个文件删除漏洞，允许商店经理（Shop Manager）删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php 文件并导致服务阻塞，但如果碰上 WordPress 权限处理漏洞时，可以使黑客控制整个站点。

WooCommerce 提供三种角色权限，即客户，商店经理和管理员。 商店经理主要负责管理客户，产品和订单。 在 WooCommerce 设置商店经理的角色后，WordPress 为其提供了 edit_users 的功能，并且此角色存储在 WordPress 存储库中，但 edit_users 的默认值可以编辑所有用户数据，包括管理员。

为了防止商店经理更改管理员数据，每当调用 edit_users 时，WooCommerce 就会添加元数据以限制 edit_users 的能力。 它只允许修改客户或产品数据，而不得编辑管理员数据。

但是，黑客或拥有商店经理权限的人可以使用 WooCommerce 的文件删除漏洞直接删除 WooCommerce；当 WooCommerce 关闭时，WordPress 不会删除商店经理的许可，同时 WooCommerce 对该权限所设置的限制也会失效，这时商店经理可以修改管理员数据，获得系统的管理权限，直接接管整个网站，并执行任何程序。