CVE-2025-8141 是 WordPress Redirection for Contact Form 7 插件中的一个任意文件访问漏洞。该漏洞允许未经身份验证的攻击者删除服务器上的任意文件,从而可能导致远程代码执行。该漏洞影响所有版本低于或等于 3.2.4 的插件,已于 3.2.5 版本修复。
检测此 CVE 是否影响你的项目
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
影响与攻击场景
攻击者可以利用此漏洞删除服务器上的任意文件。最严重的后果是删除 wp-config.php 文件,这将完全破坏 WordPress 站点,并可能允许攻击者执行任意代码。攻击者还可以删除其他关键文件,例如主题文件或插件文件,从而导致站点不可用或功能受损。由于该漏洞无需身份验证,攻击者可以轻松地利用它,从而对站点构成重大风险。类似的文件路径遍历漏洞曾导致过严重的安全事件,例如网站被完全控制。
利用背景
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,攻击者可能会积极寻找利用机会。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议尽快采取缓解措施。
哪些人处于风险中翻译中…
WordPress websites utilizing the Redirection for Contact Form 7 plugin, particularly those running versions 0.0.0 through 3.2.4, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other websites hosted on the same server.
检测步骤翻译中…
• wordpress / composer / npm:
wp plugin list --status=active | grep Redirection• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep Redirection• wordpress / composer / npm:
find /var/www/html/wp-content/plugins/redirection-for-contact-form7/ -name 'delete_associated_files.php'攻击时间线
- Disclosure
disclosure
威胁情报
漏洞利用状态
EPSS
0.35% (57% 百分位)
CISA SSVC
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 无 — 无需认证,无需凭证即可利用。
- User Interaction
- 需要 — 受害者必须打开文件、点击链接或访问特制页面。
- Scope
- 未改变 — 影响仅限于脆弱组件本身。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 高 — 攻击者可写入、修改或删除任何数据。
- Availability
- 高 — 完全崩溃或资源耗尽,完全拒绝服务。
受影响的软件
软件包信息
- 活跃安装数
- 200K已知
- 插件评分
- 4.7
- 需要WordPress版本
- 5.1+
- 兼容至
- 7.0
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
最有效的缓解措施是立即将 Redirection for Contact Form 7 插件升级至 3.2.5 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制文件上传权限,确保 WordPress 目录的权限设置正确,并使用 Web 应用防火墙 (WAF) 来阻止可疑的文件删除请求。监控 WordPress 站点上的文件系统变化,以便及时发现和响应任何未经授权的删除操作。升级后,请验证插件版本是否已成功更新。
修复方法翻译中…
Actualice el plugin Redirection for Contact Form 7 a la versión 3.2.5 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
什么是 CVE-2025-8141 — 任意文件访问漏洞在 WordPress Redirection for Contact Form 7?
CVE-2025-8141 是 WordPress Redirection for Contact Form 7 插件中的一个漏洞,允许攻击者删除服务器上的任意文件,可能导致远程代码执行。
我是否受到 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的影响?
如果您使用的是 Redirection for Contact Form 7 插件的版本低于 3.2.5,则您可能受到此漏洞的影响。
我如何修复 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的漏洞?
将 Redirection for Contact Form 7 插件升级至 3.2.5 或更高版本。
CVE-2025-8141 是否正在被积极利用?
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,攻击者可能会积极寻找利用机会。
在哪里可以找到 WordPress 官方关于 CVE-2025-8141 的公告?
请访问 WordPress 官方网站或 Redirection for Contact Form 7 插件的官方网站,查找有关此漏洞的公告。