WordPress 广泛使用的 Database for Contact Form 7、WPforms、Elementor Forms 插件近日被曝存在严重安全漏洞。该漏洞编号为 CVE-2025-7384,CVSS 评分高达 9.8,影响所有 1.4.3 及以下版本,攻击者可在未经身份验证的情况下利用该漏洞实施恶意攻击,可能导致拒绝服务(DoS)甚至远程代码执行(RCE)。
该插件拥有超过 7 万个活跃安装量,能够自动将 Contact Form 7、WPforms、Elementor Forms 及 CRM Perks Forms 等主流 WordPress 联系表单插件提交的数据直接存储到网站数据库中。此功能虽为网站管理员提供了便利,但同时也使其成为网络犯罪分子的高价值攻击目标。
CVE-2025-7384 的根本问题在于插件 get_lead_detail 函数中存在的 PHP 对象注入漏洞。由于在反序列化未经信任的输入数据时缺乏安全校验,攻击者可在无需认证的情况下向应用注入任意 PHP 对象,从而实施进一步攻击。
当该插件与 Contact Form 7 搭配使用时,风险将显著升级。报告指出,“Contact Form 7 插件中存在的 POP(面向属性编程)链…可使攻击者删除任意文件,包括 wp-config.php 配置文件。”一旦 wp-config.php 被删除,WordPress 网站可能出现完全拒绝服务(DoS)或被重新安装至攻击者控制之下,从而实现远程代码执行。
若该漏洞被利用,可能造成以下后果:
-
删除关键的 WordPress 配置文件(如 wp-config.php);
-
导致全站宕机及拒绝服务;
-
可能实现远程代码执行;
-
在攻击者重新取得控制后,导致整站完全被入侵。
由于该漏洞在未经身份验证的情况下即可被利用,任何运行受影响版本且公开可访问的网站都处于高危状态。
插件开发者已发布 1.4.4 版本修复该漏洞。
发表评论
您还未登录,请先登录。
登录