UNKNOWNCVE-2026-4347
CVE-2026-4347:MW WP Form任意文件访问漏洞 (CVSS 8.1)
平台
wordpress
组件
mw-wp-form
已修复版本
5.1.1
CVE-2026-4347是WordPress MW WP Form插件中的一个任意文件访问漏洞。该漏洞源于'generate_user_filepath'和'move_temp_file_to_upload_dir'函数中文件路径验证不足,允许未经身份验证的攻击者移动服务器上的任意文件,从而可能导致远程代码执行。受影响的版本包括0到5.1.0。此问题已在5.1.1版本中修复。
修复方法
更新到 5.1.1 版本或更新的已修补版本
常见问题
什么是CVE-2026-4347漏洞?
CVE-2026-4347是WordPress MW WP Form插件中的一个任意文件访问漏洞,允许攻击者移动服务器上的文件。
我是否受到CVE-2026-4347漏洞的影响?
如果您正在使用版本0到5.1.0的MW WP Form插件,并且启用了“Saving inquiry data in database”选项,那么您可能受到此漏洞的影响。
如何修复CVE-2026-4347漏洞?
将MW WP Form插件升级到5.1.1或更高版本可以修复此漏洞。