Urgent: Arbitrary File Deletion in “WooCommerce Support Ticket System” Plugin (< 18.5) — What WordPress Site Owners Must Do Right Now

2026 年 3 月 20 日，公開通告披露了 WooCommerce 支援票務系統插件（18.5 之前版本）中的未經身份驗證的任意檔案刪除漏洞。該問題被追蹤為 CVE-2026-32522（CVSS 8.6），允許遠端攻擊者在未經身份驗證的情況下刪除網頁伺服器上的檔案。根據我與香港企業和中小型主機提供商的合作經驗，這是一個高緊急性問題 — 自動掃描器將迅速找到易受攻擊的網站，並且可能會發起大規模利用活動。.

以下我將概述該漏洞是什麼、現實的攻擊場景、如何檢測利用行為，以及您可以立即應用的實用緩解措施 — 包括短期遏制和長期加固。這份指導是從香港安全專家的角度撰寫，故意省略了利用代碼或逐步的攻擊者指示。.

高層次摘要（TL;DR）

• 漏洞：任意檔案刪除（未經身份驗證）。.
• Affected versions: plugin versions < 18.5.
• 修補版本：18.5（立即升級）。.
• 風險：高（CVSS 8.6）。攻擊者可以刪除核心檔案、插件/主題資產、上傳檔案或其他可從網路訪問的檔案 — 可能使網站離線或移除取證痕跡。.
• 立即行動：
  1. 在所有網站上將插件更新至 18.5 或更高版本。.
  2. 如果無法立即更新，請禁用該插件直到修補完成。.
  3. 應用基於 WAF 的虛擬修補或伺服器級別的訪問控制以阻止利用嘗試（規則策略如下）。.
  4. 檢查日誌和備份；如果發現可疑的刪除，準備事件響應。.
• 如果您的網站由代理商或主機管理，請立即向他們升級。.

What “arbitrary file deletion” means in this context

任意檔案刪除意味著應用程序可以被誘導刪除攻擊者選擇的檔案。在 WordPress 插件中，這通常發生在：

• 伺服器端刪除功能（例如，unlink()）接受來自 HTTP 輸入的檔案名/路徑。.
• 刪除操作沒有身份驗證或能力檢查（未經身份驗證的端點）。.
• 輸入未經驗證或標準化，允許目錄遍歷或絕對路徑。.
• 代碼並未強制要求目標位於已批准的目錄內。.

由於此漏洞是未經身份驗證的，大規模利用的窗口很大——攻擊者不需要有效的 WordPress 憑證。.

可能的根本原因（簡潔的技術觀點）

根據通告特徵，根本原因幾乎肯定是公共端點或 AJAX 操作，該操作使用通過 HTTP（GET/POST）提供的檔名/路徑參數執行檔案刪除。典型的弱點：

• 通過 admin-ajax.php 或自定義公共端點暴露的操作，該操作調用刪除例程。.
• 參數如 檔案, 文件名, 路徑 或接受來自客戶端的編碼標識符。.
• 沒有身份驗證/授權檢查，也沒有路徑規範化以確保檔案位於允許的目錄內。.
• 沒有允許的目標或允許的擴展名的白名單。.

攻擊者可以做什麼（現實場景）

• 刪除 wp-config.php 或其他核心 PHP 檔案，使網站無法運作。.
• 刪除插件或主題檔案以禁用安全控制或移除功能。.
• 擦除日誌或取證文物以阻礙檢測和調查。.
• 擦除存儲在網頁根目錄中的媒體/上傳或備份，造成數據丟失。.
• 將刪除與後續的後門上傳、勒索軟體或敲詐嘗試結合。.

大規模的自動掃描使這種未經身份驗證的刪除特別危險——攻擊者將掃描插件足跡並批量發送刪除請求。.

誰面臨風險

Any WordPress site with the WooCommerce Support Ticket System plugin version < 18.5 is at risk. This includes agency-managed sites and multi-site hosting environments. Sites with limited or no off‑site backups are particularly exposed.

立即行動（前 60–120 分鐘）

1. 將插件更新至 18.5 或更高版本（建議）。. 這是永久修復；優先考慮生產和測試環境。.
2. 如果您無法立即更新：停用該插件。. 從 wp-admin 或通過 WP-CLI： wp plugin deactivate .
3. 應用 WAF/虛擬修補或伺服器級別限制。. 阻止對易受攻擊的端點和模式的訪問（詳細信息見下方 WAF 部分）。.
4. 現在進行全新完整備份。. 在任何修復步驟之前，文件 + 數據庫快照對於調查和恢復至關重要。.
5. 搜索日誌以查找可疑活動。. 檢查網頁伺服器、WAF 和應用程序日誌，尋找針對插件、admin-ajax.php 操作或帶有目錄遍歷標記的參數的請求。.
6. 聯繫您的主機提供商或開發人員。. 如果您無法控制環境，請立即升級並提供 CVE 識別碼。.

偵測：在日誌和遙測中尋找什麼

在 Apache/Nginx/Cloudfront/WAF 日誌中搜索以下模式：

• 對插件路徑的請求：
  • /wp-content/plugins/woocommerce-support-ticket-system/*
  • /wp-content/plugins//ajax.php or endpoints containing “ticket”, “delete”, “attachment”
• 對 admin-ajax.php 的請求，帶有可疑的操作名稱： admin-ajax.php?action=...
• 帶有遍歷標記的參數： %2e%2e%2f, ../, ，或絕對路徑如 /etc/passwd 或 /home/.../wp-config.php
• 參考敏感文件名： 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, wp-content/uploads, ，插件/主題文件名
• 從與刪除相關的端點收到的 200/204 回應的激增或來自同一 IP 範圍的 4xx/5xx 回應的突發

示例快速 grep 想法（根據您的環境進行調整）：

grep "admin-ajax.php" access.log | grep "woocommerce-support-ticket-system"
grep -E "(%2e%2e%2f|\.\./|wp-config|wp-content/uploads|/etc/passwd)" access.log

如果您在過去 24–72 小時內發現活動，則將該網站視為可能被利用並升級到事件響應。.

建議的 WAF / 虛擬修補策略（立即應用）

如果您運行或可以訪問 Web 應用防火牆 (WAF) 或伺服器訪問控制，請立即實施分層規則：

1. Block access to the plugin’s public endpoints. 對於未經身份驗證的客戶，拒絕對 /wp-content/plugins/woocommerce-support-ticket-system/* 的 GET/POST 請求；在可行的情況下僅允許來自已知管理員 IP 的請求。.
2. 阻止未經身份驗證的刪除操作。. 拒絕對 admin-ajax.php 或 REST 端點的請求，當參數或操作值指示刪除例程時，除非請求已通過身份驗證並包含有效的 nonce。.
3. 防止目錄遍歷 / 可疑的檔名模式。. 阻止任何包含 ../, %2e%2e%2f 或絕對路徑模式的請求，並阻止對敏感文件的引用，例如 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 或 /.env.
4. 限制請求模式的速率並進行指紋識別。. 在可刪除端點上應用每個 IP 的速率限制，並標記重複的刪除嘗試。.
5. 正向通配符參數驗證。. 在可能的情況下，僅允許數字 ID（附件 ID）用於刪除 API，並阻止非數字或異常長的值，這些值可能表明路徑注入。.
6. 日誌記錄和警報。. 記錄被阻止的嘗試，並提供完整上下文，對重複觸發進行警報。.

示例抽象規則邏輯：

• Rule A: If request path matches plugin-delete-endpoint AND (no valid auth cookie OR missing nonce) → BLOCK & LOG.
• 規則 B：如果請求主體/查詢包含 ../ 或 %2e%2e%2f 或引用 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 → BLOCK & LOG.
• Rule C: Rate-limit requests to N requests/minute per IP; if exceeded → BLOCK & ALERT.

首先在監控模式下測試規則，以避免阻擋合法管理活動的誤報，然後對確認的惡意模式啟用阻擋。.

WordPress 環境的 WAF 考量範例

• 保護 admin-ajax.php：許多插件濫用此端點並未強制執行權限。阻擋或限制 POST 請求，其中 行動 參數符合可疑的刪除操作。.
• 保護插件資料夾：使用 WAF 加上伺服器配置規則來拒絕對插件 PHP 入口點的直接訪問。.
• 阻擋來自未經身份驗證來源的直接檔案刪除 API：拒絕刪除動詞或端點，除非請求被證明為經過身份驗證和授權。.

如何加固您的伺服器和 WordPress 環境（實用步驟）

1. 檔案系統加固。. 限制檔案系統權限。盡可能使 wp-config.php 僅限擁有者可寫（例如，chmod 400/440）。限制對 wp-content 的遞歸寫入訪問；僅允許網頁伺服器在必要時寫入（上傳）。.
2. 最小權限原則。. 以僅對所需目錄有訪問權限的用戶運行 PHP 進程。對於多個網站使用操作系統級別的隔離。.
3. 網頁伺服器規則。. 拒絕在上傳和其他不可執行目錄中直接執行 PHP。通過伺服器配置限制對已知敏感檔案的訪問。.
4. WordPress 最佳實踐。. 保持核心、主題和插件更新。刪除未使用的插件。對管理帳戶強制執行雙因素身份驗證。.
5. 備份和保留。. 維護離線、版本化的備份。定期測試恢復並在可能的情況下保留不可變的副本。.

如果您懷疑有漏洞 — 事件響應和恢復

1. 隔離網站。. 在調查期間將網站置於維護模式或限制訪問。.
2. 保留證據。. 在修復之前拍攝文件和數據庫快照。收集事件窗口的網絡服務器、應用程序和WAF日誌。.
3. 檢查是否有缺失/修改的文件。. 將當前文件樹與已知良好的備份或校驗和清單進行比較。注意 wp-config.php、插件/主題文件和上傳內容。.
4. 從乾淨的備份中恢復。. 如果關鍵文件缺失，從已知乾淨的備份中恢復。不要恢復可能已經受到損害的備份。.
5. 旋轉憑證。. 更改 WordPress 管理員密碼、數據庫憑據、API 密鑰和任何可能被濫用的秘密。.
6. 掃描後門。. 使用可信的惡意軟件掃描器和手動審查來搜索網絡殼或修改過的 PHP 文件。盡可能從可信來源替換受感染的文件。.
7. 重新應用更新和加固。. 更新易受攻擊的插件，重新啟用保護，並繼續嚴格監控。.
8. 通知利益相關者。. 根據您的通知政策和法律要求通知用戶、主機或客戶。.

修復後的監控和持續檢測

• 即使在修補後，也要保持防禦規則在監控/警報模式。.
• 對 wp-content、uploads 和 webroot 中的文件系統更改發出警報。.
• 實施文件完整性監控 (FIM) 以檢測突發刪除或未經授權的更改。.
• 注意重複嘗試訪問被阻止的端點；攻擊者通常會重新訪問目標。.

If you’re a developer: avoid these common mistakes (secure coding checklist)

• 永遠不要根據用戶提供的輸入直接刪除文件，而不進行標準化和白名單檢查。.
• 在服務器端驗證和標準化路徑；確保目標在允許的目錄內。.
• 對於破壞性操作，要求身份驗證和能力檢查。.
• 對於狀態變更的 AJAX 端點使用隨機數或基於令牌的驗證，並在伺服器端進行驗證。.
• 優先使用伺服器端解析的數字 ID 而不是接受客戶端的檔案路徑。.
• 記錄刪除操作及請求上下文以便審計。.

虛擬修補和事件支持 — 期待什麼

如果您聘請安全提供商或運營自己的邊緣控制，請期待以下實際響應：

• 快速創建和部署針對已知漏洞向量的 WAF 規則（端點模式、遍歷令牌、可疑參數）。.
• 行為保護，例如速率限制和請求指紋識別，以減緩自動化攻擊。.
• 檔案完整性監控和協助識別缺失或修改的檔案。.
• 指導的事件響應手冊：證據收集、隔離、清理恢復和加固步驟。.

如果您的網站前面沒有管理的邊緣保護，請應用伺服器級別的限制並遵循上述立即行動 — 漏洞利用可以迅速大規模發生。.

如果您現在無法更新，可以應用的實用非 WAF 緩解措施

• 停用該插件。. 最安全的短期措施。.
• 限制對插件檔案的訪問。. 添加伺服器規則以拒絕對插件 PHP 入口點的公共訪問；在可行的情況下僅允許已知的管理 IP。.
• 加強檔案權限。. 在實際可行的情況下，將敏感檔案設置為只讀，並在測試以確保不會破壞所需功能後進行。.
• 使用伺服器端的白名單。. 如果插件暴露了鉤子或過濾器，請添加自定義代碼以強制執行嚴格的刪除檢查（例如，僅允許具有相應權限的登錄用戶）。.

Long-term programmatic recommendations for hosts & site operators

• 維持快速的邊緣規則部署能力，以在零日窗口期間保護客戶。.
• 提供經過充分測試的自動更新，針對具有安全修復的插件並進行金絲雀測試以降低風險。.
• 提供每個網站的檔案快照和快速恢復工作流程，以避免完整伺服器恢復。.
• 教育客戶有關插件衛生：移除未使用的插件，偏好主動維護的插件，並在測試環境中測試更新。.

偵測手冊：您今天可以實施的查詢和警報

• 對於導致 HTTP 200 響應的刪除操作，對請求 /wp-content/plugins/woocommerce-support-ticket-system/* 發出警報。.
• 對包含可疑的 admin-ajax.php POST 請求發出警報 行動 與刪除相關的值或主體參數。.
• 對包含的請求發出警報 ../, %2e%2e%2f, 、絕對路徑或敏感檔名。.
• 安排每日檢查，將當前檔案清單與先前的清單進行比較，並對意外刪除發出警報。.

常見問題

問：如果我的網站受到攻擊，但攻擊者只刪除了插件檔案，WordPress 會恢復嗎？

答：通常插件檔案可以重新安裝，並從備份中恢復設置，但如果關鍵檔案（wp-config.php）或上傳檔案被刪除——或存在後門——恢復可能會更複雜。恢復後始終執行完整的完整性掃描。.

問：僅僅依靠檔案系統權限能防止這種情況嗎？

答：適當的權限可以降低風險，但不是萬能的。作為網頁伺服器用戶運行的易受攻擊插件仍然可以刪除該用戶可以寫入的檔案。深度防禦（更新 + WAF + 備份 + 權限）是正確的方法。.

問：僅僅關閉對 admin-ajax.php 的訪問就足夠了嗎？

答：不一定。許多插件依賴 admin-ajax.php 來實現合法功能。完全阻止它可能會破壞功能。偏好針對性規則，阻止惡意模式，同時保留合法流量。.

最終檢查清單——每個 WordPress 網站擁有者的立即待辦事項清單

1. 確定所有使用 WooCommerce 支援票務系統插件的網站。.
2. 立即將每個安裝更新至版本 18.5 或更高版本。.
3. 如果您無法立即更新，請停用該插件。.
4. 應用 WAF 規則或伺服器級限制以阻止刪除端點和遍歷嘗試。.
5. 現在進行完整備份（檔案 + 數據庫）並存儲在伺服器外。.
6. 搜尋日誌以查找可疑的刪除嘗試和上述指標。.
7. 執行檔案完整性和惡意軟體掃描；如果發現可疑活動，請尋找後門。.
8. 強化檔案權限並限制對敏感檔案的訪問。.
9. 設置持續監控和警報以應對上述模式。.

結語

任意檔案刪除漏洞直接攻擊網站的完整性和可用性。所需的回應是立即的：現在修補到18.5，或隔離並虛擬修補易受攻擊的端點，直到您可以更新。從香港安全從業者的角度來看，速度和分層控制是必不可少的——更新、邊緣保護、嚴格的檔案權限、可靠的離線備份和主動監控共同減少了嚴重影響的機會。.

如果您需要專業的事件響應或幫助制定針對性的WAF規則和檢測查詢，請立即聯繫值得信賴的安全顧問或您的託管安全團隊。.