漏洞总结:BuddyPress Xprofile Custom Fields Type 2.6.3 远程代码执行 漏洞概述 漏洞名称:BuddyPress Xprofile Custom Fields Type 2.6.3 Remote Code Execution 严重性:HIGH 发布日期:2026年4月29日 CVSS 4.0 向量: CWE 分类:CWE-22 Improper Limitation of a Pathname to a Restricted Directory (Path Traversal) 影响范围 受影响软件:BuddyPress Xprofile Custom Fields Type 受影响版本:<= 2.6.3 攻击条件:需要认证用户权限 攻击方式:通过操纵未转义的 POST 参数,攻击者可删除任意文件。具体而言,攻击者可以在编辑个人资料时修改 和 参数,从而 unlink 服务器上的文件。 修复方案 官方产品主页:Official Product Homepage 参考链接:ExploitDB-44432 贡献者 Credit:Lenon Leite 描述 BuddyPress Xprofile Custom Fields Type 2.6.3 包含一个远程代码执行漏洞,允许认证用户通过操纵未转义的 POST 参数删除任意文件。攻击者可以在编辑个人资料时修改 和 参数,从而 unlink 服务器上的文件。