WordPress 第三方表单插件 Everest Forms 曝远程代码执行漏洞

IT之家3月2日消息，据外媒Wordfence报道，安全人员ArkadiuszHydzik向其报告一款名为EverestForms的WordPress插件存在严重漏洞CVE-2025-1128，黑客可利用漏洞将任意文件上传至WordPress网站，从而实现远程执行任意代码。

▲ Everest Forms 插件

据悉，这款EverestForms插件主要为网站管理员提供创建表单、问卷、投票等功能。目前Wordfence已将所有信息提交给EverestForms开发者，目前相应插件已发布3.0.9.5版本补丁修复相应Bug，而安全人员ArkadiuszHydzik也获得了4290美元（IT之家备注：当前约31274元人民币）的漏洞奖励。

IT之家参考报告获悉，这一CVE-2025-1128漏洞的CVSS风险评分高达9.8分（满分10分），3.0.9.5前所有版本的EverestForms均存在这一漏洞，目前部署该插件的网站“多达10万家”。

针对该漏洞产生的原因，Wordfence漏洞研究员IstvánMárton指出，问题在于EVF_Form_Fields_Upload这个类缺乏对文件类型和路径的验证，导致WordPress网站不仅能上传任意文件，还可能被黑客随意读取或删除任何数据；若黑客针对wp-config.php下手，就有可能控制整个网站。

由于EVF_Form_Fields_Upload中的方法format对文件类型或后缀名没有进行检查，黑客可直接将包含恶意PHP代码的CSV或TXT文本文件重命名为PHP文件并上传，而WordPress网站会自动将这些文件移动到任何人均可公开访问的上传目录，这样黑客便可在未经过身份验证的情况下上传恶意PHP代码，进而触发漏洞在服务器上远程执行任意代码。