近日，安全領(lǐng)域傳來一則重要消息，WordPress平臺上廣泛使用的Everest Forms插件被發(fā)現(xiàn)存在高危漏洞CVE-2025-1128。這一發(fā)現(xiàn)由安全專家Arkadiusz Hydzik揭示，并經(jīng)由知名安全媒體Wordfence報道。該漏洞允許黑客向使用Everest Forms的WordPress網(wǎng)站上傳任意文件，進(jìn)而實現(xiàn)遠(yuǎn)程代碼執(zhí)行，對網(wǎng)站安全構(gòu)成嚴(yán)重威脅。

Everest Forms插件以其強(qiáng)大的表單、問卷及投票功能深受網(wǎng)站管理員青睞。然而，正是這一廣受歡迎的插件，成為了黑客攻擊的新目標(biāo)。Wordfence在得知漏洞詳情后，迅速與Everest Forms的開發(fā)團(tuán)隊取得聯(lián)系，協(xié)助其發(fā)布了3.0.9.5版本的補(bǔ)丁，以修復(fù)這一安全隱患。同時，Arkadiusz Hydzik因其重要貢獻(xiàn)，獲得了4290美元的漏洞獎勵，折合人民幣約31274元。

據(jù)安全報告顯示，CVE-2025-1128漏洞的CVSS風(fēng)險評分高達(dá)9.8分，幾乎接近滿分，顯示了其極高的危害程度。在3.0.9.5版本發(fā)布之前，所有版本的Everest Forms均存在這一漏洞。更令人擔(dān)憂的是，目前已有多達(dá)10萬家網(wǎng)站部署了該插件，這些網(wǎng)站均面臨被攻擊的風(fēng)險。

深入分析漏洞成因，Wordfence的漏洞研究員István Márton指出，問題根源在于EVF_Form_Fields_Upload類在處理文件上傳時缺乏必要的驗證機(jī)制。具體來說，該類沒有對上傳文件的類型和路徑進(jìn)行嚴(yán)格檢查，導(dǎo)致黑客可以上傳任意文件，并可能進(jìn)一步讀取或刪除網(wǎng)站上的敏感數(shù)據(jù)。若黑客攻擊wp-config.php文件，甚至可能完全控制整個網(wǎng)站。

由于EVF_Form_Fields_Upload類中的format方法缺乏對文件類型或后綴名的驗證，黑客可以輕松繞過安全限制。他們可以將包含惡意PHP代碼的CSV或TXT文件重命名為PHP文件并上傳至網(wǎng)站。WordPress網(wǎng)站會自動將這些文件移動至公共訪問的上傳目錄，使黑客能夠在未授權(quán)的情況下上傳并執(zhí)行惡意代碼，從而在服務(wù)器上遠(yuǎn)程執(zhí)行任意操作。

此次事件再次提醒廣大網(wǎng)站管理員，務(wù)必保持警惕，及時更新插件以修復(fù)已知漏洞，確保網(wǎng)站安全。同時，安全廠商也應(yīng)加強(qiáng)監(jiān)測和預(yù)警機(jī)制，及時發(fā)現(xiàn)并通報潛在的安全威脅。