WARNING: WordPress File Delete to Code Execution で、動画付きで解説されている話 多分、 『editattachmentアクションの時のthumbパラメータがユーザー入力だけど、ノーチェックでidと結びつくようになってるので、結びつけてやれば、wordpressアプリの権限で触れるところ任意で削除出来るので、wp-config.phpとか削除するとwordpress初期化出来る。 投稿者権限以上でログイン出来るユーザーが攻撃者になりうる。』 って書いてある 環境構築 docker hubのwordpressのものを参考にdocker-compose.ymlを作成 https://hub.docker.com/_/wordpress/ version: '3.1' services: wordpress: image: wordpress:4.