WordPress 第三方表单插件 Everest Forms 曝远程代码执行漏洞，10 万网站受影响

根据 IT之家 3 月 2 日的报道，外媒 Wordfence 揭示了一款 WordPress 插件 Everest Forms 存在的严重安全漏洞 CVE-2025-1128。攻击者可借助该漏洞，任意上传文件至 WordPress 网站，从而执行远程代码。

Everest Forms 插件旨在为网站管理人员提供表单、问卷和投票等功能的创建工具。Wordfence 已将相关信息反馈给 Everest Forms 的开发者，目前该插件已更新至 3.0.9.5 版本，以修补相关的漏洞。此外，安全研究员 Arkadiusz Hydzik 也因发现该漏洞获得了 4290 美元（约合 31274 元人民币）的奖励。

根据 IT之家参考的报告，CVE-2025-1128 漏洞的 CVSS 风险评级达到 9.8 分（满分为 10 分），所有早于 3.0.9.5 版本的 Everest Forms 插件均存在该漏洞， 目前使用该插件的网站数量已达“10 万家”。

针对漏洞产生的原因，Wordfence 的漏洞研究员 István Márton 解释说，EVF_Form_Fields_Upload 类缺乏对文件类型和路径的有效验证，造成 WordPress 网站不仅可以上传任意文件，且黑客可能随意读取或删除数据。如果黑客盯上 wp-config.php 文件，有可能完全控制网站。

由于 EVF_Form_Fields_Upload 中的 format () 方法未对文件类型或后缀进行检查，黑客可以直接将带有恶意 PHP 代码的 CSV 或 TXT 文件重命名为 PHP 文件上传。WordPress 将这些文件自动移至公开访问的上传目录，使黑客在未经过身份验证的情况下唤起恶意 PHP 代码，从而在服务器上执行任意代码。

广告声明：文中出现的外部链接（包括但不限于超链接、二维码、口令等形式）旨在提供更多信息，以便节省筛选时间，结果仅供参考。