关键词

漏洞

Wordfence 最新报告揭示:超过10,000+ 个 WordPress 网站使用的HT Contact Form Widget(适用于 Elementor 和 Gutenberg)插件存在三项关键安全缺陷,攻击者可通过这些漏洞执行远程代码、完全控制网站。

⚠️ 三大漏洞概要解析
1. CVE‑2025‑7340:任意文件上传(CVSS = 9.8)

  • 根因:temp_file_upload()函数缺乏文件类型验证;

  • 风险:攻击者可上传任意文件(包括 .php 可执行脚本),无认证即可远程执行代码;

  • CVSS高达9.8,属于极度危险级漏洞。

2. CVE‑2025‑7341:任意文件删除(CVSS = 9.1)

  • 根因:temp_file_delete()没有路径校验;

  • 风险:可删除如wp-config.php文件,导致网站进入安装/重置模式,攻击者重建数据库并控制站点。

3. CVE‑2025‑7360:任意文件移动(CVSS = 9.8)

  • 根因:handle_files_upload()中路径处理不当;

  • 风险:攻击者可移动关键文件(如配置文件),重构网站文件结构并造成执行控制。

三者均可被未经认证的攻击者远程触发,破坏性覆盖保密性、完整性与可用性。

响应与补丁发布

漏洞由安全研究员 vgo0 和 Phat RiO 向 Wordfence 提交披露,Wordfence 于 7 月 8 日联系插件开发商,补丁于 7 月 13 日发布。强烈建议所有站点管理员立即更新至 HT Contact Form 最新版本以阻断风险。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!