平台
wordpress
组件
drag-and-drop-multiple-file-upload-contact-form-7
修复版本
1.3.9
CVE-2025-2328 是 Contact Form 7 插件中的一个任意文件访问漏洞。攻击者可以利用此漏洞删除服务器上的任意文件,如果同时安装并激活 Flamingo 插件,可能导致远程代码执行。此漏洞影响 Contact Form 7 插件版本 0 至 1.3.8.7。建议立即升级插件或采取缓解措施。
该漏洞允许攻击者通过构造恶意文件路径,例如 ../../../../wp-config.php,来删除服务器上的文件。如果攻击者能够删除 wp-config.php 等关键文件,或者利用 Flamingo 插件的删除功能,则可能导致远程代码执行。攻击者可以完全控制受影响的 WordPress 站点,窃取敏感数据,篡改网站内容,甚至利用该站点发起进一步的攻击。由于该漏洞需要 Flamingo 插件的存在,因此攻击的复杂性略有增加,但仍然构成严重的安全威胁。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但漏洞描述表明攻击者可以通过构造恶意文件路径来利用该漏洞。
WordPress websites utilizing the Drag and Drop Multiple File Upload for Contact Form 7 plugin, particularly those with the Flamingo plugin installed, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and server configurations. Legacy WordPress installations running older versions of the plugin are also at heightened risk.
• wordpress / composer / npm:
grep -r 'dnd_remove_uploaded_files' /var/www/html/wp-content/plugins/drag-and-drop-multiple-file-upload-for-contact-form-7/• wordpress / composer / npm:
wp plugin list --status=active | grep 'drag-and-drop-multiple-file-upload-for-contact-form-7'• wordpress / composer / npm:
wp plugin list --status=active | grep 'flamingo'• generic web: Check WordPress plugin directory for updates and security advisories related to 'Drag and Drop Multiple File Upload for Contact Form 7'.
disclosure
漏洞利用状态
EPSS
2.88% (86% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Contact Form 7 插件升级到最新版本。如果无法立即升级,可以考虑禁用 Flamingo 插件,以降低攻击风险。此外,可以配置 WordPress 服务器的 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意文件路径的请求。监控 WordPress 站点的日志文件,查找可疑的文件删除活动,并及时采取行动。建议定期审查 WordPress 插件的安全性,并及时更新。
Actualice el plugin Drag and Drop Multiple File Upload for Contact Form 7 a la última versión disponible para corregir la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización aborda la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor. Asegúrese de realizar una copia de seguridad completa antes de actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-2328 是 Contact Form 7 插件中的一个安全漏洞,允许攻击者删除服务器上的任意文件,可能导致远程代码执行。此漏洞影响版本 0–1.3.8.7。
如果您正在使用 Contact Form 7 插件的版本 0 至 1.3.8.7,并且同时安装并激活了 Flamingo 插件,则您可能受到此漏洞的影响。
立即将 Contact Form 7 插件升级到最新版本。如果无法升级,请禁用 Flamingo 插件。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Contact Form 7 插件的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。