科技
当前位置:首页 > 科技  > 软件

WordPress 第三方表单插件 Everest Forms 曝远程代码执行漏洞,10 万网站受影响

来源: 责编: 时间:2025-03-03 11:54:02 252观看
导读 3 月 2 日消息,据外媒 Wordfence 报道,安全人员Arkadiusz Hydzik 向其报告一款名为 Everest Forms 的 WordPress 插件存在严重漏洞 CVE-2025-1128,黑客可利用漏洞将任意文件上传至 WordPress 网站,从而实现远程执

3 月 2 日消息,据外媒 Wordfence 报道,安全人员Arkadiusz Hydzik 向其报告一款名为 Everest Forms 的 WordPress 插件存在严重漏洞 CVE-2025-1128,黑客可利用漏洞将任意文件上传至 WordPress 网站,从而实现远程执行任意代码。VZ528资讯网——每日最新资讯28at.com

VZ528资讯网——每日最新资讯28at.com

▲Everest Forms 插件

据悉,这款 Everest Forms 插件主要为网站管理员提供创建表单、问卷、投票等功能。目前 Wordfence 已将所有信息提交给 Everest Forms 开发者,目前相应插件已发布 3.0.9.5 版本补丁修复相应Bug,而安全人员 Arkadiusz Hydzik 也获得了 4290 美元(IT酷哥备注:当前约 31274 元人民币)的漏洞奖励。VZ528资讯网——每日最新资讯28at.com

VZ528资讯网——每日最新资讯28at.com

IT酷哥参考报告获悉,这一 CVE-2025-1128 漏洞的 CVSS 风险评分高达 9.8 分(满分 10 分),3.0.9.5 前所有版本的 Everest Forms 均存在这一漏洞,目前部署该插件的网站“多达 10 万家”。VZ528资讯网——每日最新资讯28at.com

针对该漏洞产生的原因,Wordfence 漏洞研究员 István Márton 指出,问题在于 EVF_Form_Fields_Upload 这个类缺乏对文件类型和路径的验证,导致 WordPress 网站不仅能上传任意文件,还可能被黑客随意读取或删除任何数据;若黑客针对 wp-config.php 下手,就有可能控制整个网站。VZ528资讯网——每日最新资讯28at.com

由于 EVF_Form_Fields_Upload 中的方法 format () 对文件类型或后缀名没有进行检查,黑客可直接将包含恶意 PHP 代码的 CSV 或 TXT 文本文件重命名为 PHP 文件并上传,而 WordPress 网站会自动将这些文件移动到任何人均可公开访问的上传目录,这样黑客便可在未经过身份验证的情况下上传恶意 PHP 代码,进而触发漏洞在服务器上远程执行任意代码。VZ528资讯网——每日最新资讯28at.com

本文链接:http://www.28at.com/showinfo-26-135136-0.htmlWordPress 第三方表单插件 Everest Forms 曝远程代码执行漏洞,10 万网站受影响

声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com

上一篇: 富士康郑州新总部开工,加速布局电动车储能等新兴产业

下一篇: 网友在台积电工厂附近垃圾桶捡到晶圆,但无法制成 GPU

标签:
  • 热门焦点

  • 卢伟冰长文解析K60至尊版 对Redmi有着里程碑式的意义

    在今天的Redmi后性能时代战略发布会结束之后,Redmi总经理卢伟冰又带来了一篇长文,详解了为什么 Redmi 要开启后性能时代?为什么选择和 MediaTek、Pixelworks 深度合作?以及后性

  • 影音体验是真的强 简单聊聊iQOO Pad

    大公司的好处就是产品线丰富,非常细分化的东西也能给你做出来,例如早先我们看到了新的vivo Pad2,之后我们又在iQOO Neo8 Pro的发布会上看到了iQOO的首款平板产品iQOO Pad。虽

  • 5月iOS设备性能榜:M1 M2依旧是榜单前五

    和上个月一样,没有新品发布的iOS设备性能榜的上榜设备并没有什么更替,仅仅只有跑分变化而产生的排名变动,刚刚开始的苹果WWDC2023,推出的产品也依旧是新款Mac Pro、新款Mac Stu

  • Golang 中的 io 包详解:组合接口

    io.ReadWriter// ReadWriter is the interface that groups the basic Read and Write methods.type ReadWriter interface { Reader Writer}是对Reader和Writer接口的组合,

  • 自动化在DevOps中的力量:简化软件开发和交付

    自动化在DevOps中扮演着重要角色,它提升了DevOps的效能。通过自动化工具和方法,DevOps团队可以实现以下目标:消除手动和重复性任务。简化流程。在整个软件开发生命周期中实现更

  • 使用LLM插件从命令行访问Llama 2

    最近的一个大新闻是Meta AI推出了新的开源授权的大型语言模型Llama 2。这是一项非常重要的进展:Llama 2可免费用于研究和商业用途。(几小时前,swyy发现它已从LLaMA 2更名为Lla

  • 一文掌握 Golang 模糊测试(Fuzz Testing)

    模糊测试(Fuzz Testing)模糊测试(Fuzz Testing)是通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。可以用来发现应用程序、操作系统和网络协议等中的漏洞或

  • 品牌洞察丨服务本地,美团直播成效几何?

    来源:17PR7月11日,美团App首页推荐位出现“美团直播”的固定入口。在直播聚合页面,外卖“神枪手”直播间、美团旅行直播间、美团买菜直播间等均已上线,同时

  • 支持aptX Lossless无损传输 iQOO TWS 1赛道版发布限时优惠价369元

    2023年7月4日,“无损音质,声动人心”iQOO TWS 1正式发布,支持aptX Lossless无损传输,限时优惠价369元。iQOO TWS 1耳机率先支持端到端aptX Lossless无

最新推荐

猜你喜欢

热门推荐

相关资讯

Copyright © 2016-2023 天津谷骐科技有限公司 版权所有 sitemap.xml

违法及侵权请联系:2376512515@qq.com 津ICP备18001702号 津公网安备 12010102000574号

Top