HIGHCVE-2026-1540CVSS 7.2

CVE-2026-1540：Contact Form 7插件RCE漏洞 (版本0-1.2.10)

平台

wordpress

组件

wp-contact-form-7-spam-blocker

修复版本

1.2.10

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-1540是WordPress的Spam Protect for Contact Form 7插件中存在的一个远程代码执行(RCE)漏洞。该漏洞允许具有编辑器权限的攻击者通过构造恶意header，将日志写入PHP文件，从而执行任意代码。受影响的版本包括0到1.2.10。此漏洞已在1.2.10版本中修复。

影响与攻击场景

WordPress的Spam Protect for Contact Form 7插件中发现了一个远程代码执行（RCE）漏洞。此漏洞影响所有1.2.10之前的版本。它允许经过身份验证的攻击者，拥有编辑器级别或更高的访问权限，在服务器上执行恶意代码。攻击者可能会完全控制网站，泄露敏感的用户数据，注入恶意软件或执行其他有害操作。此漏洞源于插件处理某些输入的方式，允许注入在处理过程中执行的代码。为了减轻此风险，必须立即更新插件。未能更新可能导致对网站及其访问者造成严重后果的安全漏洞。

利用背景

拥有使用Spam Protect for Contact Form 7且运行1.2.10之前版本的WordPress网站的编辑器或更高权限的攻击者可以利用此漏洞。攻击通常涉及通过联系表单注入恶意代码，然后由插件执行。攻击者可以使用此漏洞上传恶意文件，修改网站数据库或完全控制服务器。攻击的复杂性取决于攻击者的技术知识，但由于其远程代码执行的潜力，此漏洞本质上是严重的。身份验证是先决条件，这意味着攻击者需要拥有适当权限的用户帐户。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.10% (29% 百分位)

CVSS 向量

受影响的软件

组件wp-contact-form-7-spam-blocker

供应商wordfence

影响范围修复版本

0 – 1.2.101.2.10

1.2.101.2.10

弱点分类 (CWE)

CWE-94

时间线

已保留2026-01-28
发布日期2026-03-12
修改日期2026-04-15
EPSS 更新日期2026-04-09

缓解措施和替代方案

解决此漏洞的最有效方法是立即将Spam Protect for Contact Form 7插件更新到1.2.10或更高版本。此版本包含必要的修复程序，以防止恶意代码的执行。此外，建议对网站进行安全审计，以识别和纠正任何潜在的额外漏洞。在执行更新之前，请务必创建网站的完整备份。如果无法立即更新，请考虑暂时禁用插件，直到您可以安全地更新为止。在更新后监控服务器日志，以查找任何可疑活动，以确认漏洞已解决。

修复方法翻译中…

Update to version 1.2.10, or a newer patched version

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-1540 是什么 — Spam Protect for Contact Form 7 中的 Remote Code Execution (RCE)？

如果您无法立即更新插件，则暂时禁用插件是减轻风险的最佳选择。尽快更新它。

Spam Protect for Contact Form 7 中的 CVE-2026-1540 是否会影响我？

在WordPress管理面板中，转到“插件”并查找“Spam Protect for Contact Form 7”。插件名称旁边会显示当前版本。

如何修复 Spam Protect for Contact Form 7 中的 CVE-2026-1540？

是的，无论网站的配置如何，所有1.2.10之前的插件版本都存在漏洞。

CVE-2026-1540 是否正在被积极利用？

攻击者可以执行任何类型的代码，包括PHP脚本，从而使他们能够控制网站或访问敏感数据。

在哪里可以找到 Spam Protect for Contact Form 7 关于 CVE-2026-1540 的官方安全通告？

您可以在诸如NIST的National Vulnerability Database（NVD）之类的漏洞数据库中找到有关CVE-2026-1540的更多信息。