2025年3月2日，據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)Wordfence披露，知名WordPress第三方表單插件Everest Forms存在一個(gè)嚴(yán)重安全漏洞（CVE-2025-1128），攻擊者可利用該漏洞繞過(guò)文件驗(yàn)證機(jī)制，向目標(biāo)網(wǎng)站上傳惡意文件并遠(yuǎn)程執(zhí)行任意代碼，最終完全控制服務(wù)器。目前，全球約10萬(wàn)家使用該插件的網(wǎng)站面臨威脅。

漏洞詳情與風(fēng)險(xiǎn)等級(jí)

該漏洞的CVSS風(fēng)險(xiǎn)評(píng)分高達(dá)9.8分（滿分10分），屬于“嚴(yán)重”級(jí)別，影響所有3.0.9.5版本之前的Everest Forms插件。安全研究人員Arkadiusz Hydzik發(fā)現(xiàn)此漏洞后向Wordfence提交報(bào)告，并因此獲得**4290美元（約合31274元人民幣）**的漏洞獎(jiǎng)勵(lì)。

技術(shù)成因與攻擊路徑

根據(jù)Wordfence漏洞研究員István Márton的分析，漏洞源于插件中EVF_Form_Fields_Upload類的設(shè)計(jì)缺陷。該類未對(duì)用戶上傳文件的類型、路徑及后綴名進(jìn)行有效驗(yàn)證，導(dǎo)致攻擊者可通過(guò)以下步驟實(shí)施攻擊：

1. 惡意文件偽裝：將包含PHP代碼的CSV或TXT文件重命名為PHP擴(kuò)展名；
2. 繞過(guò)驗(yàn)證上傳：利用插件的文件上傳功能將偽裝文件傳輸至服務(wù)器；
3. 公開(kāi)訪問(wèn)目錄存儲(chǔ)：WordPress自動(dòng)將文件移至公開(kāi)可訪問(wèn)的上傳目錄；
4. 遠(yuǎn)程代碼執(zhí)行：攻擊者直接觸發(fā)惡意PHP文件，在服務(wù)器上執(zhí)行任意指令。

更危險(xiǎn)的是，攻擊者還可通過(guò)此漏洞讀取或刪除網(wǎng)站數(shù)據(jù)，例如篡改關(guān)鍵配置文件wp-config.php，從而徹底控制網(wǎng)站。

修復(fù)與應(yīng)對(duì)措施

目前，Everest Forms開(kāi)發(fā)者已緊急發(fā)布3.0.9.5版本補(bǔ)丁修復(fù)漏洞。Wordfence建議所有用戶立即更新插件至最新版本，并檢查服務(wù)器日志中是否存在異常文件上傳記錄。

總結(jié)

此次漏洞事件再次凸顯第三方插件對(duì)網(wǎng)站安全的重大影響。對(duì)于依賴WordPress的企業(yè)和個(gè)人站長(zhǎng)，需建立定期更新機(jī)制，并優(yōu)先選擇經(jīng)過(guò)嚴(yán)格安全審計(jì)的插件，以降低被攻擊風(fēng)險(xiǎn)。