平台
wordpress
组件
extensions-for-cf7
修复版本
3.2.9
CVE-2025-7645是一个高危的任意文件访问漏洞,影响WordPress插件Extensions For CF7 (Contact form 7 Database, Conditional Fields and Redirection)。攻击者可以利用此漏洞删除服务器上的任意文件,从而可能导致远程代码执行。该漏洞影响所有小于等于3.2.8版本的插件,已于3.2.9版本修复。
该漏洞的潜在影响非常严重。攻击者可以通过删除关键文件,如wp-config.php,完全控制WordPress网站。攻击者可以利用此漏洞上传恶意文件,执行任意代码,窃取敏感数据,甚至完全破坏网站。由于该插件广泛使用,潜在的攻击面非常大。如果wp-config.php被删除,网站将无法正常运行,攻击者可以利用该机会进一步渗透系统。
该漏洞已公开披露,存在公开的利用方法。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会被广泛利用。建议密切关注安全社区的动态,及时采取应对措施。该漏洞的风险等级较高,应尽快修复。
WordPress websites utilizing the Extensions For CF7 plugin, particularly those running older versions (0.0.0–3.2.8), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Websites with weak server configurations or inadequate access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'delete-file' /var/www/html/wp-content/plugins/extensions-for-cf7/• wordpress / composer / npm:
wp plugin list | grep 'Extensions For CF7'• wordpress / composer / npm:
wp plugin update extensions-for-cf7 --version=3.2.9• generic web: Check WordPress plugin directory for outdated versions of Extensions For CF7.
disclosure
漏洞利用状态
EPSS
0.55% (68% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Extensions For CF7插件升级至3.2.9或更高版本。如果无法立即升级,可以尝试限制文件删除权限,例如修改插件代码以增加文件路径验证的严格性。此外,可以考虑使用Web应用防火墙(WAF)来检测和阻止恶意文件删除请求。监控插件目录和文件系统,及时发现异常活动。
Actualice el plugin Extensions For CF7 a la versión 3.2.9 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de la ruta del archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-7645是WordPress插件Extensions For CF7中的一个高危漏洞,允许攻击者删除服务器上的任意文件,可能导致远程代码执行。
如果您正在使用Extensions For CF7插件的版本小于3.2.9,那么您可能受到此漏洞的影响。
立即将Extensions For CF7插件升级至3.2.9或更高版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会被广泛利用。
请访问Extensions For CF7插件的官方网站或WordPress插件目录,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。