IT之家 3 月 2 日消息，據(jù)外媒 Wordfence 報道，安全人員 Arkadiusz Hydzik 向其報告一款名為 Everest Forms 的 WordPress 插件存在嚴重漏洞 CVE-2025-1128，黑客可利用漏洞將任意文件上傳至 WordPress 網(wǎng)站，從而實現(xiàn)遠程執(zhí)行任意代碼。

據(jù)悉，這款 Everest Forms 插件主要為網(wǎng)站管理員提供創(chuàng)建表單、問卷、投票等功能。目前 Wordfence 已將所有信息提交給 Everest Forms 開發(fā)者，目前相應(yīng)插件已發(fā)布 3.0.9.5 版本補丁修復(fù)相應(yīng) Bug，而安全人員 Arkadiusz Hydzik 也獲得了 4290 美元（IT之家備注：當前約 31274 元人民幣）的漏洞獎勵。

IT之家參考報告獲悉，這一 CVE-2025-1128 漏洞的 CVSS 風險評分高達 9.8 分（滿分 10 分），3.0.9.5 前所有版本的 Everest Forms 均存在這一漏洞，目前部署該插件的網(wǎng)站“多達 10 萬家”。

針對該漏洞產(chǎn)生的原因，Wordfence 漏洞研究員 István Márton 指出，問題在于 EVF_Form_Fields_Upload 這個類缺乏對文件類型和路徑的驗證，導致 WordPress 網(wǎng)站不僅能上傳任意文件，還可能被黑客隨意讀取或刪除任何數(shù)據(jù)；若黑客針對 wp-config.php 下手，就有可能控制整個網(wǎng)站。

由于 EVF_Form_Fields_Upload 中的方法 format () 對文件類型或后綴名沒有進行檢查，黑客可直接將包含惡意 PHP 代碼的 CSV 或 TXT 文本文件重命名為 PHP 文件并上傳，而 WordPress 網(wǎng)站會自動將這些文件移動到任何人均可公開訪問的上傳目錄，這樣黑客便可在未經(jīng)過身份驗證的情況下上傳惡意 PHP 代碼，進而觸發(fā)漏洞在服務(wù)器上遠程執(zhí)行任意代碼。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。