WordPress 第三方表單插件 Everest Forms 曝遠(yuǎn)程代碼執(zhí)行漏洞，10 萬網(wǎng)站受影響

IT之家 3 月 2 日消息，據(jù)外媒 Wordfence 報(bào)道，安全人員 Arkadiusz Hydzik 向其報(bào)告一款名為 Everest Forms 的 WordPress 插件存在嚴(yán)重漏洞 CVE-2025-1128，黑客可利用漏洞將任意文件上傳至 WordPress 網(wǎng)站，從而實(shí)現(xiàn)遠(yuǎn)程執(zhí)行任意代碼。

據(jù)悉，這款 Everest Forms 插件主要為網(wǎng)站管理員提供創(chuàng)建表單、問卷、投票等功能。目前 Wordfence 已將所有信息提交給 Everest Forms 開發(fā)者，目前相應(yīng)插件已發(fā)布 3.0.9.5 版本補(bǔ)丁修復(fù)相應(yīng) Bug，而安全人員 Arkadiusz Hydzik 也獲得了 4290 美元（IT之家備注：當(dāng)前約 31274 元人民幣）的漏洞獎(jiǎng)勵(lì)。

IT之家參考報(bào)告獲悉，這一 CVE-2025-1128 漏洞的 CVSS 風(fēng)險(xiǎn)評(píng)分高達(dá) 9.8 分（滿分 10 分），3.0.9.5 前所有版本的 Everest Forms 均存在這一漏洞，目前部署該插件的網(wǎng)站“多達(dá) 10 萬家”。

針對(duì)該漏洞產(chǎn)生的原因，Wordfence 漏洞研究員 István Márton 指出，問題在于 EVF_Form_Fields_Upload 這個(gè)類缺乏對(duì)文件類型和路徑的驗(yàn)證，導(dǎo)致 WordPress 網(wǎng)站不僅能上傳任意文件，還可能被黑客隨意讀取或刪除任何數(shù)據(jù)；若黑客針對(duì) wp-config.php 下手，就有可能控制整個(gè)網(wǎng)站。

由于 EVF_Form_Fields_Upload 中的方法 format () 對(duì)文件類型或后綴名沒有進(jìn)行檢查，黑客可直接將包含惡意 PHP 代碼的 CSV 或 TXT 文本文件重命名為 PHP 文件并上傳，而 WordPress 網(wǎng)站會(huì)自動(dòng)將這些文件移動(dòng)到任何人均可公開訪問的上傳目錄，這樣黑客便可在未經(jīng)過身份驗(yàn)證的情況下上傳惡意 PHP 代碼，進(jìn)而觸發(fā)漏洞在服務(wù)器上遠(yuǎn)程執(zhí)行任意代碼。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。