2025年3月2日,据网络安全机构Wordfence披露,知名WordPress第三方表单插件Everest Forms存在一个严重安全漏洞(CVE-2025-1128),攻击者可利用该漏洞绕过文件验证机制,向目标网站上传恶意文件并远程执行任意代码,最终完全控制服务器。目前,全球约10万家使用该插件的网站面临威胁。
漏洞详情与风险等级
该漏洞的CVSS风险评分高达9.8分(满分10分),属于“严重”级别,影响所有3.0.9.5版本之前的Everest Forms插件。安全研究人员Arkadiusz Hydzik发现此漏洞后向Wordfence提交报告,并因此获得**4290美元(约合31274元人民币)**的漏洞奖励。
技术成因与攻击路径
根据Wordfence漏洞研究员István Márton的分析,漏洞源于插件中EVF_Form_Fields_Upload类的设计缺陷。该类未对用户上传文件的类型、路径及后缀名进行有效验证,导致攻击者可通过以下步骤实施攻击:
- 恶意文件伪装:将包含PHP代码的CSV或TXT文件重命名为PHP扩展名;
- 绕过验证上传:利用插件的文件上传功能将伪装文件传输至服务器;
- 公开访问目录存储:WordPress自动将文件移至公开可访问的上传目录;
- 远程代码执行:攻击者直接触发恶意PHP文件,在服务器上执行任意指令。
更危险的是,攻击者还可通过此漏洞读取或删除网站数据,例如篡改关键配置文件wp-config.php,从而彻底控制网站。
修复与应对措施
目前,Everest Forms开发者已紧急发布3.0.9.5版本补丁修复漏洞。Wordfence建议所有用户立即更新插件至最新版本,并检查服务器日志中是否存在异常文件上传记录。
总结
此次漏洞事件再次凸显第三方插件对网站安全的重大影响。对于依赖WordPress的企业和个人站长,需建立定期更新机制,并优先选择经过严格安全审计的插件,以降低被攻击风险。
