HIGHCVE-2025-8141CVSS 8.8

联系表单 7 重定向 <= 3.2.4 - 未经身份验证的任意文件删除

Q: 什么是 CVE-2025-8141 — 任意文件访问漏洞在 WordPress Redirection for Contact Form 7?

CVE-2025-8141 是 WordPress Redirection for Contact Form 7 插件中的一个漏洞，允许攻击者删除服务器上的任意文件，可能导致远程代码执行。

Q: 我是否受到 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的影响?

如果您使用的是 Redirection for Contact Form 7 插件的版本低于 3.2.5，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的漏洞?

将 Redirection for Contact Form 7 插件升级至 3.2.5 或更高版本。

Q: CVE-2025-8141 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，攻击者可能会积极寻找利用机会。

Q: 在哪里可以找到 WordPress 官方关于 CVE-2025-8141 的公告?

请访问 WordPress 官方网站或 Redirection for Contact Form 7 插件的官方网站，查找有关此漏洞的公告。

平台

wordpress

组件

wpcf7-redirect

修复版本

3.2.5

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-8141 是 WordPress Redirection for Contact Form 7 插件中的一个任意文件访问漏洞。该漏洞允许未经身份验证的攻击者删除服务器上的任意文件，从而可能导致远程代码执行。该漏洞影响所有版本低于或等于 3.2.4 的插件，已于 3.2.5 版本修复。

影响与攻击场景

攻击者可以利用此漏洞删除服务器上的任意文件。最严重的后果是删除 wp-config.php 文件，这将完全破坏 WordPress 站点，并可能允许攻击者执行任意代码。攻击者还可以删除其他关键文件，例如主题文件或插件文件，从而导致站点不可用或功能受损。由于该漏洞无需身份验证，攻击者可以轻松地利用它，从而对站点构成重大风险。类似的文件路径遍历漏洞曾导致过严重的安全事件，例如网站被完全控制。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，攻击者可能会积极寻找利用机会。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。建议尽快采取缓解措施。

哪些人处于风险中翻译中…

WordPress websites utilizing the Redirection for Contact Form 7 plugin, particularly those running versions 0.0.0 through 3.2.4, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other websites hosted on the same server.

检测步骤翻译中…

• wordpress / composer / npm:

wp plugin list --status=active | grep Redirection

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

wp plugin status | grep Redirection

• wordpress / composer / npm:

find /var/www/html/wp-content/plugins/redirection-for-contact-form7/ -name 'delete_associated_files.php'

攻击时间线

2025-08-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.35% (57% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件wpcf7-redirect

供应商themeisle

影响范围修复版本

0 – 3.2.43.2.5

弱点分类 (CWE)

CWE-22

时间线

已保留2025-07-24
发布日期2025-08-20
修改日期2026-04-08
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 Redirection for Contact Form 7 插件升级至 3.2.5 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制文件上传权限，确保 WordPress 目录的权限设置正确，并使用 Web 应用防火墙 (WAF) 来阻止可疑的文件删除请求。监控 WordPress 站点上的文件系统变化，以便及时发现和响应任何未经授权的删除操作。升级后，请验证插件版本是否已成功更新。

修复方法翻译中…

Actualice el plugin Redirection for Contact Form 7 a la versión 3.2.5 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de archivo, previniendo que atacantes no autenticados eliminen archivos sensibles en el servidor.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-8141 — 任意文件访问漏洞在 WordPress Redirection for Contact Form 7?

CVE-2025-8141 是 WordPress Redirection for Contact Form 7 插件中的一个漏洞，允许攻击者删除服务器上的任意文件，可能导致远程代码执行。

我是否受到 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的影响?

如果您使用的是 Redirection for Contact Form 7 插件的版本低于 3.2.5，则您可能受到此漏洞的影响。

我如何修复 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的漏洞?

将 Redirection for Contact Form 7 插件升级至 3.2.5 或更高版本。

CVE-2025-8141 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，攻击者可能会积极寻找利用机会。

在哪里可以找到 WordPress 官方关于 CVE-2025-8141 的公告?

请访问 WordPress 官方网站或 Redirection for Contact Form 7 插件的官方网站，查找有关此漏洞的公告。

联系表单 7 重定向 <= 3.2.4 - 未经身份验证的任意文件删除

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

什么是 CVE-2025-8141 — 任意文件访问漏洞在 WordPress Redirection for Contact Form 7?

我是否受到 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的影响?

我如何修复 CVE-2025-8141 在 WordPress Redirection for Contact Form 7 中的漏洞?

CVE-2025-8141 是否正在被积极利用?

在哪里可以找到 WordPress 官方关于 CVE-2025-8141 的公告?

软件包信息

你的项目受影响吗?

检测此 CVE 是否影响你的项目