WordPress是一个开放的Web发布平台。在WordPress的插件->添加新的->上传插件页面，管理用户可以提交除zip文件外的其他文件作为新插件。如果安装时需要FTP凭据（以便将文件移动到`uploads`目录之外），那么尽管它被拒绝，但上传的文件仍会暂时出现在媒体库中。如果站点上设置了`DISALLOW_FILE_EDIT`常量为`true`并且在上传新主题或插件时需要FTP凭据，那么这实际上允许在用户本来无法执行任意PHP代码的情况下进行RCE。此问题仅影响单站点安装中的管理员级用户以及多站点安装中的超级管理员级用户，其他用户等级不受影响。设置`DISALLOW_FILE_MODS`常量为`true`的站点不受影响。不需要输入FTP凭据或具有有效FTP凭据访问权限的管理员用户的站点也不受影响。此问题已于2024年1月30日在WordPress 6.4.3中修复，并返回版本6.3.3、6.2.4、6.1.5、6.0.7、5.9.9、5.8.9、5.7.11、5.6.13、5.5.14、5.4.15、5.3.17、5.2.20、5.1.18、5.0.21、4.9.25、2.8.24、4.7.28、4.6.28、4.5.31、4.4.32、4.3.33、4.2.37和4.1.40中。有一个解决方法可用。如果`DISALLOW_FILE_MODS`常量定义为`true`，则任何用户都无法上传插件，因此无法利用此问题。