由于该漏洞是在供应商发布补丁之前发现的，因此该漏洞被黑客用作零日漏洞。

“WP Royal”的 Royal Elementor 插件和模板是一个网站构建工具包，无需编码知识即可快速创建 Web 元素。据 WordPress.org 称，它的活跃安装量超过 200,000 次。

影响该附加组件的缺陷被追踪为 CVE-2023-5360（CVSS v3.1：9.8“严重”），允许未经身份验证的攻击者在易受攻击的网站上执行任意文件上传。

尽管该插件具有扩展验证功能，可将上传限制为仅允许特定的文件类型，但未经身份验证的用户可以操纵“允许列表”来绕过清理和检查。

攻击者可能通过此文件上传步骤实现远程代码执行，从而导致网站完全受损。有关该缺陷的其他技术细节已被隐瞒，以防止广泛利用。

用于创建恶意管理员帐户

上传文件（有效负载）的哈希值 (WPScan)